1 Leitfaden über Internet- und E-Mail-Überwachung am Arbeitsplatz ...

1 

Leitfaden über Internet- und 

E-Mail-Überwachung am 

Arbeitsplatz 

Für öffentliche Verwaltungen und 

Privatwirtschaft 

Der eidgenössische 

Datenschutzbeauftragte 

informiert

Leitfaden über Internet- und E-Mail-Überwachung am Arbeitsplatz Eidgenössischer Datenschutzbeauftragter (EDSB) 

3 

Herausgeber: Der eidgenössische Datenschutzbeauftragte 

3003 Bern

4 


Inhaltsverzeichnis 

Einleitung: Das Surfen und die Überwachung 6 

1. Die wichtigsten netzbasierten Anwendungen 8 

1.1 Anwendungen ohne inhaltliche Speicherung 8 

1.2 Anwendungen mit inhaltlicher Speicherung 8 

2. Tangierte Interessen des Arbeitgebers 10 

3. Technische und organisatorische Schutzmassnahmen 12 

4. Beim Surfen hinterlassene Spuren 16 

5. Das Nutzungsreglement über privates Surfen und Mailen 20 

6. Gesetzliche Grundlagen der Überwachung 23 

7. Die wichtigsten rechtlichen Voraussetzungen für die 

Überwachung des Surfens und der E-Mail-Nutzung 26 

7.1 Die vorherige Information 26 

7.2 Die Feststellung eines Missbrauches 27 

8. Die Überwachung des Surfens und der E-Mail- 

Benutzung am Arbeitsplatz 28 

8.1 Überwachung im Rahmen der Gewährleistung der 

Sicherheit und der Funktionstüchtigkeit des betrieblichen 

EDV-Systems 28 

8.2 Überwachung aufgrund anderer Hinweise 29 

8.3 Überwachung aufgrund der Auswertungen der 

Protokollierungen 29 

8.4 Die Überwachung aufgrund der Auswertungen der 

Surfprotokollierungen 30 

8.4.1 Erste Phase: Nichtpersonenbezogene Überwachung 30 

8.4.2 Zweite Phase: Personenbezogene Überwachung 31 

8.5 Die Überwachung des E-Mail-Verkehrs 32 

8.5.1 Die Überwachung des privaten e-Mail-Verkehrs 32 

8.5.1.1 Vorgehensweise 34 

8.5.2 Die Überwachung des geschäftlichen E-Mail-Verkehrs 34 

8.5.2.1 Die E-Mail-Verwaltung während Abwesenheiten 35 

8.5.2.2 Die E-Mail-Verwaltung beim Austritt eines Angestellten 35 

8.5.3 Besondere Fälle der E-Mail-Überwachung 35 

8.6 Teleworker 36 

9. Die Überwachung im Falle einer Straftat 37 

10. Sanktionen bei Missbrauch 38 

11. Ansprüche des Arbeitnehmers bei unzulässiger 

Überwachung 40


5 

Anhang A: Situationsschema 41 

Anhang B: Voraussetzungen und Ablauf 42 

B.1 Die Voraussetzungen der Überwachung 42 

B.2 Der Ablauf der Überwachung 43 

B.3 Das Auswertungsverfahren 44 

Anhang C: Musterreglement über die Surfen- und 

E-Mail-Überwachung am Arbeitsplatz 45 

C.1 Zweck und Geltungsbereich 45 

C.1.1 Zweck 45 

C.1.2 Geltungsbereich 45 

C.2 Interessen und Risiken des Arbeitgebers und 

Arbeitnehmers 45 

C.2.1 Interessen und Risiken des Arbeitgebers 45 

C.2.2 Interessen und Risiken des Arbeitnehmers 45 

C.3 Technische Schutzmassnahmen und 

Protokollierungen 46 

C.3.1 Technische Schutzmassnahmen 46 

C.3.2 Protokollierungen 46 

C.4 Nutzungsregelung 46 

C.5 Überwachungsregelung 47 

C.5.1 Vorrang technischer Schutzmassnahmen 47 

C.5.2 Auswertung der Protokollierungen 47 

C.5.3 Überwachung im Rahmen der Gewährleistung 

der Sicherheit und Funktionstüchtigkeit des 

betrieblichen EDV-Systems oder aufgrund anderer 

Hinweise 48 

C.5.4 Unterscheidung zwischen private und 

geschäftliche E-Mails 48 

C.5.5 Die Überwachung des geschäftlichen 

E-Mail-Verkehrs 49 

C.5.6 Die E-Mail-Verwaltung bei Abwesenheiten 

eines Mitarbeiters 49 

C.5.7 Die E-Mail-Verwaltung beim Austritt 

eines Mitarbeiters 49 

C.5.8 Sanktionen bei Missbrauch 49 

C.5.9 Ansprüche des Mitarbeiters bei unzulässiger 

Überwachung durch die Firma 50 

C.5.10 Weitere Bestimmungen 50

6 


Einleitung: Das Surfen und die Überwachung 

Der Einzug der neuen Technologien in die Arbeitswelt hat Produktivität 

und Qualität eines Unternehmens gesteigert, brachte aber gleichzeitig 

weniger erfreuliche Phänomene mit sich: Unerlaubtes oder übermässiges 

Surfen und E-Mailen während der Arbeitszeit schadet den Unternehmen 

nicht nur finanziell, sondern kann auch den ganzen Datenverkehr 

eines Betriebs lahm legen, die Speicherkapazität überfordern oder 

sogar den gesamten elektronischen Arbeitsplatz blockieren. Darüber 

hinaus kann das Besuchen illegaler Internetseiten für das Unternehmen 

nicht nur rufschädigend sein, sondern auch rechtliche Konsequenzen 

haben. Die Schutzmassnahmen, die der Arbeitgeber gegen 

Missbräuche des Surfens oder des E-Mails einsetzt, sind oft nicht weniger 

zweifelhaft. Spionprogramme und permanente namentliche Auswertungen 

der Protokollierungen sind verbotene Beschnüffelungen der 

Arbeitnehmer. Ein Umdenken ist gefordert: Der Arbeitgeber hat seine 

Bemühungen auf die technische Prävention zu konzentrieren. Statt die 

Arbeitnehmer zu überwachen soll er technische Schutzmassnahmen 

einsetzen, die unerwünschtes Surfen in Grenzen halten und das Unternehmen 

vor technischem Schaden schützen. Nur wenn ein Missbrauch 

so nicht verhindert werden kann, darf er nach vorheriger Information im 

Überwachungsreglement namentliche Auswertungen der Protokollierungen 

vornehmen. Fehlt ein Missbrauch und eine vorherige Information, 

dürfen die Internet- und E-Mail-Protokollierungen nur in anonymer 

oder pseudonymer Weise ausgewertet werden. Der Arbeitgeber muss 

sich aber auch die Frage stellen, ob und in welchem Umfang ein Internetzugang 

für jeden Arbeitnehmer notwendig ist. Gegebenenfalls kann 

das E-Mail ohne Surfmöglichkeit zur Verfügung gestellt werden. Es darf 

auf jeden Fall nicht ausser Acht gelassen werden, dass durch Verbund 

der Firma mit dem Internet oder E-Mail Kontakt- und Angriffsmöglichkeiten 

von der Aussenwelt geschaffen werden. 

Der Gesetzgeber hat sich mit den Rechten und Pflichten von Arbeitgeber 

und Arbeitnehmer in dieser Thematik bis heute kaum auseinander 

gesetzt. Dieser Leitfaden soll einerseits die betroffenen Personen sensibilisieren, 

andererseits den Gesetzgeber zur Schaffung der nötigen gesetzlichen 

Grundlagen anspornen. 

Der Leitfaden setzt sich zunächst mit den wichtigsten netzbasierten 

Anwendungen, deren Spuren sowie den tangierten Interessen des Arbeitgebers 

und den entsprechenden technischen Schutzmassnahmen 

auseinander. Anschliessend werden die heutigen gesetzlichen Grundlagen, 

die Voraussetzungen und der Ablauf der Internet- und E-Mail-Über-


7 

wachung erörtert. Zum Schluss wird auf die Folgen missbräuchlicher 

Internetnutzungen und -überwachungen hingewiesen. Situations- und 

Ablaufschemas sowie ein Musterreglement im Anhang stellen die wichtigsten 

Punkte übersichtlich dar.

8 

Eidgenössischer Datenschutzbeauftragter (EDSB) 

Leitfaden über Internet- und E-Mail-Überwachung am Arbeitsplatz 

1. Die wichtigsten netzbasierten Anwendungen 

Das Internet bietet eine Vielzahl von Anwendungen, die allgemein Internetdienste 

genannt werden, jedoch auch firmeninterne Netzdienste (Intranet) 

umfassen. Diese sogenannten netzbasierten Anwendungen 

können in zwei grösseren Kategorien unterteilt werden, diejenigen 

ohne und diejenigen mit inhaltlicher Speicherung auf einem Datenträger. 

1.1 Anwendungen ohne inhaltliche Speicherung 

Unter Anwendungen ohne inhaltliche Speicherung auf einem Datenträger 

fällt zunächst das klassische Surfen auf dem World Wide Web, 

d. h. das Sichten von Webseiten, die auf unterschiedlichen Rechnern 

(Web Server) abgelegt sind und über eine eigene Adresse (URL 1 ) direkt 

abgerufen werden können. Das Surfen ermöglicht ausserdem die Verwaltung 

von E-Mails in Briefkasten (webbased E-Mail), welche bei Internetdienstanbietern 

(ISP: Internet Service Providers) beherbergt sind. 

Spezielle Suchmaschinen wie Altavista oder Google ermöglichen eine 

Art Volltextsuche in einer weltweiten Datenbank nach benutzerdefinierten 

Kriterien. Von multimedialem Surfen spricht man dann, wenn 

Audio- und Videoquellen sowie die Telephonie (VoIP: Voice over IP) netzbasiert 

sind. 

Die sogenannten Newsgroups stellen öffentliche Diskussionsforen 

dar. Sie beruhen auf dem Prinzip des „Schwarzen Bretts“ und werden 

daher als elektronische Pinnwand bezeichnet. Alle Teilnehmenden einer 

Newsgroup können Nachrichten abgeben, die dann von allen Internetnutzern 

abgerufen, gelesen oder beantwortet werden können. 

Beim Internet Relay Chat (IRC) und beim Instant Messaging findet 

über die Tastatur des Computers ein gesprächsartiger Meinungsaustausch 

in Echtzeit statt. Allen Teilnehmenden des Chat wird ein Name, 

meistens ein Pseudonym, zugewiesen, der es ermöglicht zu erkennen, 

von wem die Beiträge stammen. 

1.2 Anwendungen mit inhaltlicher Speicherung 

Bei Anwendungen mit inhaltlicher Speicherung auf einem Datenträger 

geht es hauptsächlich um das Herunterladen von Dateien (Download) 

mittels Protokollen wie HTTP oder FTP. Klassische Beispiele hierfür sind 

Freeware/Shareware-Anwendungsprogramme wie Spiele oder Mediadateien 

(Bilder, Audio oder Video).


9 


In diese Kategorie gehört zudem das Empfangen und Versenden von 

Nachrichten mit elektronischer Post, dem sogenannten E-Mail. Auf 

diese Weise können Texte, gegebenenfalls mit angehängten Dateien aller 

Art, gezielt an andere Netzteilnehmende übermittelt werden. 

Ohne Inhaltsverschlüsselung ist die Vertraulichkeit der E-Mails mit derjenigen 

einer Postkarte vergleichbar, weshalb die „sensiblen“ Inhalte 

durch den Benutzer verschlüsselt werden müssen. 

Beteiligt sich der Arbeitnehmer an einer Mailing-List mit seiner geschäftlichen 

E-Mail-Adresse, so wird dadurch die Speicherkapazität 

und den Netzwerkdurchsatz (throughput) der Firma sowie die Arbeitszeit 

des Arbeitnehmers beansprucht.


10 


2. Tangierte Interessen des Arbeitgebers 

Durch Benutzung des vernetzten Computers am Arbeitsplatz können 

bestimmte Interessen und technische Einrichtungen des Arbeitgebers 

beeinträchtigt werden. Dies betrifft folgende Bereiche: 

- Speicherkapazität und Netzwerkdurchsatz, durch übermässige Surfen- 

und E-Mail-Nutzung; 

- Daten- und Anwendungssicherheit (Verfügbarkeit, Integrität, Vertraulichkeit), 

durch Einfuhr von Viren, Würmern, Trojanischen Pferden oder 

Installation von fremden Programmen; 

- Arbeitszeit und andere finanzielle Interessen (Produktivitätsverluste, 

Kostensteigerung für zusätzliche Mittel und/oder Leistungen, Netzkosten, 

usw.); 

- weitere rechtlich geschützte Interessen des Arbeitgebers, wie Ruf, Fabrikations- 

und Geschäftsgeheimnisse oder Datenschutz. 

Die Speicherkapazität wird hauptsächlich durch heruntergeladene 

Dateien oder E-Mails beansprucht (vgl. Kapitel 1). 

In der Regel verbleiben ein- und ausgehende E-Mails in einem elektronischen 

Briefkasten eines Firmenservers, wo sie der Arbeitnehmer entweder 

speichern oder löschen kann, nachdem er sie gelesen bzw. verschickt 

hat. Die Speicherung betrifft einerseits protokollierte Randdaten 

wie Absender, Empfänger, Betreffzeile oder Datum, anderseits den Inhalt 

des E-Mails. Durch angehängte Dokumente (Anlagen) wird die Speicherkapazität 

der Firma zusätzlich belastet. Die (logische) Löschung 

von E-Mails erfolgt durch ihre Verschiebung in den Ordner „gelöschte 

Objekte“. Die „definitive“ Entfernung aus diesem Ordner erfolgt durch 

einen weiteren Löschungsbefehl. 

Der Netzwerkdurchsatz wird hingegen sowohl bei den Anwendungen 

mit als auch bei denen ohne inhaltliche Speicherung beansprucht. 

Durch Installation fremder Programme wie heruntergeladene Bildschirmschoner 

oder Spiele können berufliche Anwendungen unzugänglich 

gemacht (Verfügbarkeit) oder gefälscht (Integrität/Vertraulichkeit) 

werden. 

Die Hauptkategorien von Computerinfektionen sind Viren, Würmer und 

Trojanische Pferde. 

Ein Virus ist ein Programmstück, das sich vervielfacht, in andere Programme 

hineinkopiert und zugleich schädliche Funktionen in einem 

Rechnersystem ausführen kann 2 . Viren werden von externen Quellen


11 


wie E-Mails, Disketten, Spiele oder Freeware eingeführt. Bestimmte Virenarten 

zerstören beispielsweise die Integrität einer Datei, indem sie 

Buchstaben ändern, andere können die gesamte Datei zerstören. 

Dadurch kann u. U. die Funktionstüchtigkeit des Computers gefährdet 

werden (z. B. durch Zerstörung des Bootsektors). 

Ein Wurm ist ein eigenständiges Programm, das sich selbst durch Kopieren 

von einem System zum nächsten fortpflanzt, üblicherweise über 

ein Netzwerk. Ein Wurm kann, wie ein Virus, Daten direkt zerstören oder 

die Systemleistung heruntersetzen. Im weiteren schaden Würmer typischerweise, 

indem sie Trojanische Pferde übertragen. 

Mit Hilfe dieser Trojanischen Pferde können z.B. Passwörter gestohlen 

werden, die es dann ermöglichen, Daten unerlaubterweise anzusehen, 

weiterzuleiten, zu verändern oder zu löschen. Ein Trojanisches 

Pferd ist ein eigenständiges Programm, das vordergründig eine vorgesehene 

Aufgabe verrichtet, zusätzlich jedoch eine oder mehrere verborgene 

Funktionen enthält 3 . Wenn ein Benutzer das Programm aufruft, 

führt das Trojanische Pferd zusätzlich eine ungewollte sicherheitskritische 

Aktion aus. Die meisten Spionprogramme (vgl. Kapitel 4) gehören 

auch zu den Trojanischen Pferden. 

Die Benutzung des Computernetzes verursacht in unterschiedlicher 

Weise Kosten, entweder pauschal oder zeit- und/oder volumenabhängig. 

Im Falle der Pauschaltariflösung (Mietleitung) spielt es für die effektiven 

Kosten keine Rolle, wie lange jemand surft, wohl aber im Zusammenhang 

mit der verwendeten Arbeitszeit. Eine erhöhte Bandbreitenkapazität 

kann ausserdem erforderlich sein. 

Weitere Kosten für den Arbeitgeber können durch die Nutzung von kostenpflichtigen 

Web-Angeboten entstehen, wenn der Zugriff in dessen 

Namen bzw. mit dessen Kreditkarte erfolgt. Arbeitnehmer können auch 

bewusst oder unbewusst im Namen der Firma im Internet Rechtsgeschäfte 

abschliessen und den Arbeitgeber dadurch verantwortlich machen. 

Fabrikations- und Geschäftsgeheimnisse sowie der Datenschutz 

der Firma können auch gefährdet werden, z. B. wenn vertrauliche Informationen 

per E-Mail an Unberechtigte versendet werden. Diese Gefahr 

wird erhöht durch den zunehmenden Einsatz von portablen Arbeitsinstrumenten 

wie Laptops, Personal Digital Assistants oder Handys. Die 

nachstehend erwähnten technischen Schutzmassnahmen finden bei 

diesen Geräten nur beschränkte Anwendung. Zusätzlich besteht die 

Gefahr, Geschäftsgeheimnisse zu verlieren, da tragbare Geräte leicht 

vergessen oder gestohlen werden können.


12 


3. Technische und organisatorische Schutzmassnahmen 

4 

Es gibt keine absolute technische Sicherheit. Technische Schutzmassnahmen 

(vgl. Anhang A) können jedoch die Risiken im Zusammenhang 

mit der Internet- und E-Mail-Nutzung reduzieren. 

Durch den Einsatz von solchen Schutzmassnahmen soll der Arbeitgeber 

frühzeitig mögliche Gefahren für die Sicherheit und Funktionstüchtigkeit 

des elektronischen Systems verhindern. Die präventive Wirkung 

dieser Massnahmen soll den Einsatz repressiver Mittel wie die Überwachung 

(vgl. Kap. 8) weitgehend ersetzen. Zu den wichtigsten technischen 

Schutzmassnahmen gehören Passwort- und Zugriffsschutz, Antivirus- 

und Diskquotamanagers, Backups und Firewalls. Zusätzlich sollen 

die Surf- und Mailprogramme nach dem letzten Stand der Technik 5 installiert 

und in einer sicherheitsmässigen Form konfiguriert und regelmässig 

aktualisiert werden. 6 

Das Passwort dient der Authentifizierung des Benutzers. Als solches 

darf es nicht Dritten übertragen werden, muss eine genügende Komplexität 

aufweisen und regelmässig geändert werden. Der Passwortschutz 

wird nach Ablauf einer bestimmten, beschränkten Dauer (z. B. fünf Minuten) 

durch den Bildschirmschoner aktiviert, um eine Reauthentifizierung 

zu provozieren. In Anbetracht der Vielzahl Passwörter, welche von 

einem einzigen Benutzer memorisiert werden müssen, ist die Benutzung 

einer verschlüsselten Passwortdatenbank statt einer Passwortliste 

in Papierform zu empfehlen. Solche Softwarelösungen sind heutzutage 

geläufig. Das Passwort zum Einstieg in die Passwortdatenbank muss 

durch den Benutzer memorisiert werden. 

Der Zugriffsschutz besteht in der benutzerspezifischen Vergabe von 

Berechtigungen (Lesen, Schreiben/Mutieren, Ausführen, Löschen) zu 

schützenswerten Daten oder Objekten. In der Praxis wird eine Matrix 

geschaffen, welche für jedes Datenobjekt und jede Benutzerrolle die 

entsprechenden Zugriffsberechtigungen definiert. Die Zugriffsrechte 

sind arbeitnehmerspezifisch und werden durch die dafür Verantwortlichen 

(in der Regel Vorgesetzte oder Teamchefs) vergeben. Die Zugriffsrechte 

werden dann durch den Systemadministrator oder einen anderen 

mit dieser Aufgabe beauftragten Arbeitnehmer im System implementiert. 

Für besonders schützenswerte Daten (Art. 3 lit. c Datenschutzgesetz, 

DSG, SR 235.1) ist überdies eine Verschlüsselung empfehlenswert. 

Diese dient dazu, die Vertraulichkeit und Integrität der Daten zu gewährleisten. 

Die symmetrische Kryptographie benutzt den gleichen 

Schlüssel sowohl für die Verschlüsselung als auch für die Entschlüsse-


13 


lung. Der Schlüssel setzt einen sicheren Austauschkanal voraus und gilt 

bei einer Mindestlänge von 128 bits heutzutage als sicher. Im Gegensatz 

dazu benutzt die asymmetrische Kryptographie einen öffentlichen 

(frei zugänglichen) Schlüssel für die Verschlüsselung und einen 

privaten (passwortgeschützten) Schlüssel für die Entschlüsselung der 

Daten. Überdies wird der private Schlüssel für die elektronische Unterschrift 

und der öffentliche Schlüssel für die Verifizierung der Integrität 

und Herkunft der Daten verwendet. Die asymmetrische Kryptographie 

setzt eine Public-Key Infrastruktur (PKI) zur Zertifizierung der öffentlichen 

Schlüssel voraus und gilt bei einer Mindestlänge der Schlüsselpaare 

von 1024 bits heutzutage als sicher. 

Das kryptographische Verfahren kann nur so sicher wie die Schlüssel 

selber sein. Werden die Schlüssel unsicher aufbewahrt, gilt das darauf 

basierende kryptographische Verfahren auch als unsicher. 

Die Verschlüsselung ist nicht nur für die Übertragung (SSL, WEP, usw.), 

sondern auch für die Speicherung der ausgetauschten Daten empfehlenswert. 

Der Austausch von verschlüsselt gespeicherten Daten setzt 

keinen verschlüsselten Übertragungskanal mehr voraus. Bei verschlüsselt 

gespeicherten Daten besteht aber das Risiko, dass sie nicht 

jederzeit entschlüsselt werden können (z. B. Passwort- und/oder 

Schlüsselverlust, Abwesenheit des Schlüsselinhabers). 

Deswegen ist das Bedürfnis eines zusätzlichen Entschlüsselungsschlüssels 

(Additional Decryption Key [ADK] und Corporate Message 

Recovery Key [CMRK]) abzuklären und allenfalls den Interessierten mitzuteilen. 

Die Datenverschlüsselung wird immer mehr als Ergänzung der gewöhnlichen 

Zugriffsberechtigungen angewendet. Unter diesen Umständen 

verfügen die Systemadministratoren nicht mehr unbedingt 

über alle Berechtigungen. 

Ohne Verschlüsselung entspricht die Vertraulichkeit eines E-Mails derjenigen 

einer Postkarte. 

Antivirusprogramme ermöglichen, Viren aufzuspüren und in der Regel 

auch zu entfernen. Sie müssen den aktuellen Virendatenbanken der 

neusten Softwareversion entsprechen und auf jedem Arbeitsplatz aktiv 

sein. Bei der Benutzung von internetbasierten E-Mail-Diensten muss 

das Antivirusprogramm auf dem Computer des Arbeitnehmers installiert 

werden, da eine Überprüfung des E-Mail-Inhaltes erst beim Endbenutzer 

technisch möglich ist. Bei der Benutzung von internetbasierten 

E-Mail-Diensten wird die Gefahr der Virusinfektion nicht bedeutend 

grösser als bei der Benutzung des geschäftlichen E-Mail-Programmes. 

Lizenzierte, richtig installierte Antivirusprogramme der letzten Genera-


14 


tion lassen sich oft via Internet automatisch aktualisieren. Wenn es 

technisch nicht möglich ist, einen Virus zu entfernen, gestattet die regelmässige 

Datensicherung auf Backups die Wiederherstellung virenfreier 

Dateien. Zu bemerken ist, dass Antivirusprogramme per Definition 

keine absolute Sicherheit gegenüber Angriffe anbieten. Deshalb sind 

auch weitere Schutzmassnahmen wie Spyware Blaster, Detector 

empfehlenswert. 

Diskquotamanagers sind Programme, welche im Betriebsystem installiert 

werden und die Speicherkapazität (Files und Mailboxes) jedes 

Benutzers begrenzen. Dies führt zu einer Selbstbeschränkung, da eine 

Erweiterung des Speicherraumes begründet werden muss. Durch Diskquotas 

werden unnötige Überlastungen der Speicherkapazität vermieden, 

womit eine Intervention des Arbeitgebers in diesen persönlichen 

Räumen nicht mehr notwendig ist. Im Gegensatz zu Diskquotas 

eignet sich die Sperrung von E- Mails mit einer bestimmten Grösse als 

technische Schutzmassnahme kaum, da sie durch Aufteilen der betreffenden 

E-Mail-Anlagen leicht umgangen werden kann. Die Diskquotas 

sind arbeitnehmerspezifisch und werden durch die dafür Verantwortlichen 

(in der Regel Vorgesetzte oder Teamchefs) vergeben. Sie werden 

dann durch den Systemadministrator implementiert. 

Backups dienen der raschen und möglichst vollständigen Wiederherstellung 

verloren gegangener Daten. Die entsprechenden Datenträger 

müssen (brand-, wasser-, strahlungs-, diebstahls-) sicher und während 

einer bestimmten, zum Voraus festgelegten Dauer aufbewahrt werden. 

Backups stellen eine Protokollierung dar und sollten somit nur mit Vorsicht 

ausgewertet werden. 

Backups des E-Mail-Servers sind nicht empfehlenswert, da dadurch 

auch private E-Mails tangiert werden können. Deshalb sind private E- 

Mails auf einem anderen Datenträger zu speichern, damit Backups problemlos 

vorgenommen werden können. 

Firewalls schützen die eigenen Daten vor externen Angriffen 7 und verhindern, 

dass Netzwerkbandbreite und Arbeitszeit übermässig beansprucht 

werden. Sie werden meist auf Netzebene zwischen Internet, Intranet 

und gegebenenfalls einer „demilitarisierten“ Zone (DMZ, wo sich 

die firmeninternen Internetserver befinden) eingesetzt und filtern den 

Datenverkehr in beide Richtungen nach USERID, IP-Adresse oder Applikationsprotokolle 

8 . Die Konfiguration des Firewalls ist komplex, setzt 

spezifische Kenntnisse voraus und darf nur durch Fachleute durchgeführt 

werden. Die Firewall kann mit einer sogenannten Sperrliste erweitert 

werden. Diese enthält unerwünschte, vom Hersteller oder vom Arbeitgeber 

definierte URLs. Eine andere Möglichkeit besteht in einer Positivliste, 

die lediglich diejenigen Internet-Adressen elektronisch freigibt,


15 


die notwendig sind, um die Aufgaben für die Firma zu erfüllen. 

Als Ergänzung zu den genannten Hardware-Firewalls werden heute 

auch bei den einzelnen Arbeitsstationen sogenannte Personal Firewalls 

in Softwareform installiert. Da diese technischen Schutzmassnahmen 

eine absolute Sicherheit nicht gewährleisten können, werden oft 

sogenannte Intrusion Detection Systems (IDS) sowohl auf Netz- als 

auch auf Server-, gegebenenfalls auf Client-Ebene eingesetzt. Der Einsatz 

eines solchen Systems unterstützt die Aufdeckung von Missbräuchen 

oder Attacken. Der Einsatz von wissensbasierten IDS ist jedoch 

ein Zeichen der erkannten Unwirksamkeit der getroffenen Sicherheitsmassnahmen. 

Für das Herunterladen von Dateien durch FTP, HTTP oder E-Mail-Anhänge 

kann sich die Sperrung auch auf bestimme Dateiformate (.EXE, .MP3, 

.BAT, usw.) beziehen. Die Wirksamkeit solcher Sperrungen muss jedoch 

relativiert werden, da gewisse Formate, wie z. B. die komprimierte Archivdatei 

.ZIP, in der Regel selber nicht gesperrt sind, aber gesperrte 

Dateiformate enthalten können. 

Der Einsatz eines Modems bei einer laufenden Arbeitsstation kann die 

ganze Firewallsicherheit umgehen, indem sich ein Fremdbenutzer ins 

Firmennetz unbefugterweise und unbemerkt einschleust. Ohne genügende 

Schutzmassnahmen kann die Firewallsicherheit heutzutage 

auch durch Einsatz drahtloser Verteiler (Wireless Access Points) umgangen 

werden. Es empfiehlt sich demzufolge, die Datenübermittlung 

mittels WEP-Protokoll (Wired Equivalent Privacy) oder WPA-Protokoll 

(Wi-Fi Protected Access) zu verschlüsseln. 

Durch den Einsatz angemessener technischer Schutzmassnahmen 

sollten nur selten konkrete technische Störungen vorkommen.


16 


4. Beim Surfen hinterlassene Spuren 

Die meisten modernen, gemeinsam benutzten Informatikmittel (z. B. 

Server, Datenbanken oder Drucker) führen ein Logbuch (Protokollierungen) 

über die wichtigsten durchgeführten Aktivitäten durch (vgl. Anhang 

A). 

Die Spuren, die bei der Benutzung netzbasierter Anwendungen hinterlassen 

werden, bestehen in der Regel lediglich aus Randdaten wie 

„wann hat wer was getan“ und eher selten aus reinen Inhaltsdaten. 

Unter Protokollierung versteht man eine fortlaufende Aufzeichnung 

dieser Daten. Ob Protokollierungen eingesetzt werden dürfen, wer und 

wie lange darauf Zugriff hat, muss nach den Kriterien der Zweck- und 

Verhältnismässigkeit entschieden werden. Ein Hinweis auf jede eingesetzte 

Protokollierung, deren Zweck, Inhalt und Aufbewahrungsdauer 

sollte aus Transparenzgründen im internen Überwachungsreglement 

erwähnt werden. Wenn präventive Massnahmen den Schutz sensibler 

Personendaten nicht gewährleisten, können Protokollierungen notwendig 

sein (Art. 10 Verordnung zum Datenschutzgesetz, VDSG, SR 

235.11). 

Weiter ist zu bemerken, dass Protokollierungen bedarfsspezifisch konfiguriert 

werden können. Typischerweise werden die Protokollierungen 

vom Systemadministrator auf eine niedrige Stufe konfiguriert, um die 

Menge der protokollierten Daten einzudämmen. Erst wenn detailliertere 

Informationen nötig sind (z. B. im Falle einer Systemstörung), wird die 

Konfigurationsstufe für die entsprechende, zeitlich beschränkte Periode 

erhöht. Da Protokollierungen beträchtliche Grössen annehmen, können 

sie kaum ohne automatisierte Verfahren ausgewertet werden (vgl. 

Kapitel 8.3.2). 

Da die Protokolle in der Regel schnell sehr gross werden, ist es empfehlenswert, 

automatische Auswertungstools mit anonymisiertem Ergebnis 

vorzusehen. Darüber hinaus sind personenbezogene Protokollierungen 

als Datensammlungen gemäss Art. 11 DSG beim Eidg. Datenschutzbeauftragten 

anzumelden. Private Personen oder Firmen müssen 

die Protokollierungen nur anmelden, wenn für das Bearbeiten keine 

gesetzliche Pflicht besteht und die betroffenen Personen davon keine 

Kenntnis haben. Die Aufbewahrungsdauer der Protokollierungen steht 

in direktem Zusammenhang mit ihrem Zweck und muss im Nutzungsund 

Überwachungsreglement transparent mitgeteilt werden. Dem Arbeitgeber 

obliegt keine gesetzliche Aufbewahrungspflicht im Zusammenhang 

mit Protokollierungen. Im Rahmen von Sanktionsverfahren 

oder Strafverfolgungen dürfen sie bis zu deren Beendigung aufbewahrt


17 


werden. Sonst sind Protokollierungen in der Regel nach Ablauf von vier 

Wochen zu vernichten. 

Die für die Überwachung des Arbeitnehmers relevanten Protokollierungen 

können hauptsächlich an vier verschiedenen Stellen stattfinden: 

Auf dem Computer des Benutzers, auf Intranet-Servern, auf Netzkopplungselementen 

und auf DMZ-Servern (vgl. Anhang A). 

Die bei Internet-Dienstanbietern bestehenden Protokollierungen können 

im Falle einer Straftat und unter richterlicher Entscheidung untersucht 

werden. Überdies kann eine Inhaltsaufnahme angeordnet werden. 

Auf dem Computer des Benutzers können durch den unzulässigen Einsatz 

von sogenannten Spionprogrammen 9 (vgl. Kapitel 6) sämtliche Aktivitäten 

festgehalten werden. Überwachungsprogramme werden in 

der Regel ohne Information der betroffenen Personen eingesetzt und 

ermöglichen eine permanente und detaillierte Überwachung sämtlicher 

Aktivitäten des Arbeitnehmers an seinem elektronischen Arbeitsplatz. 

Insbesondere gestatten sie die Einsicht in E-Mails, indem diese 

registriert und dann an eine Drittadresse weitergeleitet werden. Auch 

das „Fotographieren“ bzw. „Kopieren“ des Bildschirms in regelmässigen 

Zeitabständen (recurrent screenshots) mit seinem gesamten Inhalt 

(z. B. Internetseiten) gehört zu den Fähigkeiten von Spionprogrammen. 

Das Erfassen sämtlicher Tastenschläge (z. B. durch Einsatz eines Hardware 

Keylogger), das Erlangen von Passwörtern, die Ansicht sämtlicher 

aktiver Anwendungen, der Zugriff auf die Festplatte des PC, das Abhören 

von abgespielten Audiodateien am PC, usw. sind weitere Fertigkeiten 

solcher Programme. Überwachungsprogramme ermöglichen auch 

die Speicherung der erlangten Aufnahmen und Informationen. Eine 

weitere Bearbeitung dieser Daten, z. B. in Form einer Datenbekanntgabe 

an Dritte, ist möglich. 

Die beim Surfen abgerufenen oder heruntergeladenen Informationen 

werden meist nur temporär auf der lokalen Festplatte gespeichert. Diese 

temporäre Speicherung (Cache) wird aber nicht vom Benutzer, sondern 

von der Anwendung aus Leistungsgründen ausgelöst. Sowohl diese 

temporäre Dateien als auch permanente Randdaten wie „Cookies“, 

Verlauf und Autovervollständigungsdaten können vom Benutzer gesperrt 

oder gelöscht werden, um einen persönlichen Beitrag zum 

Schutz der Speicherkapazität und teilweise der eigenen Privatsphäre 

zu leisten. Ideal ist, wenn die temporären Dateien (Temp File) beim 

Schliessen des Browsers oder beim Ausschalten des Computers automatisch 

gelöscht werden.


18 


Auf Intranet-Servern wie Domäne-Servern besteht die Protokollierung 

aus Benutzernamen (wer), Datumsangaben (wann), Gegenständen 

und Handlungen wie Ein- und Ausloggen, Ausdrucken von Dateien, 

dynamische IP-Adressenvergabe, DNS-Adressenauflösung (Domain 

Name System) und Applikationsaufruf (was). Die IP-Adressen der Benutzercomputern 

können entweder statisch/endgültig von einem Netzwerkadministrator 

oder dynamisch/vorläufig von einem Netzwerkdienstserver 

vergeben werden. Im letzteren Fall befindet sich eine chronologische 

Korrespondenzliste zwischen vergebener IP-Adresse und 

eingelogtem Arbeitnehmer nur im Protokoll des DHCP-Servers (Dynamic 

Host Configuration Protocol). Missbräuchliche Aktivitäten können 

aber unter dem Namen/Account eines unschuldigen Arbeitnehmers 

von bösartigen Kollegen ausgeführt worden sein. Für solche Fälle ist in 

erster Linie der Arbeitnehmer für den eigenen Account verantwortlich 

(rasche Einschaltung des Bildschirmschoners und Reauthentifizierung). 

Abgerufene Internet-Seiten und heruntergeladene Dateien können Gegenstand 

der von einem Proxy-Server verwalteten Zwischenspeicherung 

sein und stellen somit einen beobachtbaren Schnappschuss der 

letzterfolgten Surfaktivitäten dar. Jeder weitere Zugriff auf einer dieser 

Dateien durch andere Arbeitnehmer erfolgt direkt beim Proxy-Server. 

Somit erübrigt sich ein neuer Zugriff auf das Internet und die Netzbandbreite 

bleibt gespart. Dadurch könnte man aber die Nachvollziehbarkeit 

gewisser Surfaktivitäten verlieren, obschon der Proxy-Server seine eigenen 

Aktivitäten (Cache- und Filterfunktion) gänzlich protokollieren kann. 

Dabei ist zu beachten, dass eine URL ein Randdatum ist, dessen Inhalt in 

der Regel nachträglich wieder abrufbar und darstellbar ist. 

Auf Netzkopplungselementen wie Firewall oder Router werden in 

Prinzip eine Zeitangabe, die Quell- und Ziel-IP-Adressen, das verwendete 

Applikationsprotokoll wenn nicht sogar die abgerufene Seite und den 

Benutzernamen protokolliert. Zu den Quelladressen muss man noch 

daran denken, dass eine NAT-Funktion (Network Address Translation) 

optional einsetzbar ist. Die intern verwendeten IP-Adressen werden dynamisch 

in extern bekannte aber unschädliche Adressen umgewandelt, 

um sich vor externen Attacken zu schützen. Die Interpretation der 

Protokolle kann infolgedessen verkompliziert werden. 

Auf Netzwerkebene können sogenannte Sniffer-/Scannergeräte von einem 

Administrator eingesetzt werden, um eine detaillierte Abhörung 

der übertragenen Datenpakete (Rand- und Inhaltsdaten) zu erstellen. 

Eine solche Abhörung ist erst problematisch, wenn sie von einem unbefugten 

Benutzer (Hacker) ausgeführt wird. In jedem Fall sollten kritische


19 


Daten wie Passwörter nur in chiffrierter Form übertragen werden. Ausserdem 

können sogenannte (server- oder) netzbasierte Intrusion Detection 

Systeme (IDS) installiert werden, um vom Firewall unerkannte 

Attacken nachträglich abfangen zu können. 

Eine „demilitarizierte“ Zone (DMZ) zwischen Intranet und Internet 

wird oft von Firewalls unterstützt, um von beiden Welten zugreifbare 

Server beherbergen zu können. Es geht vor allem um die Email-, Fileund 

Webserver (bzw. Protokolle SMTP, FTP und HTTP). 

Auf den E-Mail-Servern werden u. A. Zeitangabe, Absender- und Empfängeradresse, 

Betrefftext, Priorität und Vertraulichkeit der Nachrichten 

protokolliert. Es kann aber nicht ausgeschlossen werden, dass weitere 

Informationen protokolliert werden (z. B. Anzahl Attachments, Grösse 

des E-Mails, digitale Signatur, ev. auch IP-Adresse). E-Mail-Inhalte werden 

grundsätzlich nicht protokolliert. 

Die Protokollierungseinträge sind in der Regel direkt oder indirekt 

(durch Verknüpfung mit der Korrespondenzliste) mit einer bestimmten 

Person verkettbar. Im Falle dass eine Protokollierung bekannt gegeben 

werden muss, ist sie mit grosser Wahrscheinlichkeit zu pseudonymisieren 

oder sogar repseudonymisieren (wenn die Daten nicht genug robust 

pseudonymisiert waren).


20 


5. Das Nutzungsreglement über privates Surfen 

und Mailen 

Ob Arbeitnehmer das Recht haben, privat Internet und E-Mail zu nutzen, 

hängt in erster Linie vom Willen des Arbeitgebers ab. Ähnlich wie in anderen 

Bereichen des Arbeitsverhältnisses, hat er ein Weisungsrecht 

(Art. 321d Obligationenrecht, OR, SR 220). Wichtig ist, dass der Arbeitgeber 

die effektiven beruflichen Bedürfnisse seiner Arbeitnehmer differenziert 

überprüft, bevor er ihnen den Internetzugriff gewährt. Durch 

spezifische Schulung sollen die Arbeitnehmer auf die Sicherheitsgefahren 

bei der Benutzung netzbasierter Anwendungen sensibilisiert werden. 

Für den Arbeitgeber ist es ratsam, eine schriftliche Weisung über die 

Nutzung netzbasierter Anwendungen zu erlassen, obschon dies nicht 

obligatorisch ist. Ein solches Nutzungsreglement (vgl. Anhang C) schafft 

Transparenz und Rechtssicherheit in den Beziehungen zwischen Arbeitgeber 

und Arbeitnehmer. Jeder Arbeitnehmer sollte daher am besten 

schriftlich über die Regelung informiert werden. Ein nur mündlich kommuniziertes 

Nutzungsreglement ist zwar ebenfalls verbindlich, kann 

aber im Streitfall zu Nachweisschwierigkeiten führen. Deshalb ist allen 

Arbeitnehmern ein schriftliches Exemplar auszuhändigen, dessen Empfang 

sie quittieren. Das Nutzungsreglement ist regelmässig zu überprüfen 

und wenn nötig anzupassen. Anpassungen sind insbesondere nötig, 

wenn Missbräuche festgestellt werden, die Arbeitsbedürfnisse ändern 

oder relevante technische Neuerungen entstehen. 

Die private Benutzung der netzbasierten Anwendungen wird je nach 

Nutzungsreglement entweder zugelassen, eingeschränkt oder ganz 

verboten. 

Eine Einschränkung kann auf unterschiedliche Weise erfolgen. Die zeitliche 

Begrenzung privater Surftouren, z. B. 15 Minuten pro Tag, ist aus 

zwei Gründen nicht wirkungsvoll: Einerseits wird der Zeitpunkt, wann 

eine Internet-Seite verlassen wird, in der Regel aus technischen Gründen 

10 nicht protokolliert. Anderseits würde eine Protokollierung der Benutzungsdauer 

kaum zuverlässige Rückschlüsse auf die effektive zeitliche 

Beanspruchung ermöglichen, da die abgerufene Internet-Seite hinter 

einer anderen Applikation (z. B. dem Textverarbeitungsprogramm) 

offen bleiben kann, ohne dass sie jedoch tatsächlich benutzt wird. Erst 

die Protokollierung einer Reihe aufeinanderfolgender Internet-Zugriffe 

vom selben Computer aus innerhalb einer bestimmten Zeitspanne 

könnte Rückschlüsse auf die tatsächliche Benutzungsdauer ermöglichen, 

wenn die einzelnen Zugriffe in kurzen Zeitabständen voneinander


21 


erfolgt sind. Eine absolut richtige Aussage über die Dauer der Benutzung 

netzbasierter Anwendungen lässt sich aber auch in solchen Fällen 

nicht machen, da gewisse Internet-Seiten kontinuierlich und automatisch 

aktualisiert werden (z. B. Newstickers bei Zeitungen oder Börsenmeldungen). 

Eine Einschränkung kann erfolgen durch Sperrung unerwünschter Internetangebote 

(Börse, elektronische Stellenanzeiger, E-Commerce- 

Seiten, pornographische oder rassistische Texte oder Bilder, usw.), 

durch Festsetzung einer bestimmten, beanspruchbaren Speicherkapazität 

des Servers (vgl. Kapitel 3) oder eines Zeitpunktes, ab welchem 

eine private Benutzung erlaubt ist (z. B. ab 18 Uhr). Möglich ist auch die 

Vergabe von unterschiedlichen Bandbreiten je nach Arbeitsrelevanz 

der abgerufenen Internet-Seiten. 

Die Einschränkung oder das Verbot der privaten Benutzung netzbasierter 

Anwendungen kann auch durch Umschreibung der zugelassenen 

Internetangebote erfolgen, mit einer Positivliste, die z. B. nur die Informationsbeschaffung 

auf Internet-Seiten offizieller Behörden erlaubt 

(vgl. Kapitel 3). Im Allgemeinen ist eine Surftour zulässig, wenn sie beruflichen 

Zwecken dient. 

Falls die Internetnutzung eingeschränkt ist, könnte es eine Lösung sein, 

wenn der Arbeitgeber – ähnlich wie beim Telefon – ein frei zugängliches 

Internet-Terminal zur Verfügung stellt. Die entsprechende Protokollierung 

darf durch den Arbeitgeber nicht eingesehen werden, wird aber 

aus Beweissicherungsgründen (z. B. für ein offizielles Ermittlungsverfahren) 

erstellt. Aus Sicherheitsgründen (vgl. Kapitel 2) empfiehlt es 

sich, dieses Terminal vom übrigen Firmennetz getrennt zu betreiben. 

Die interessierten Arbeitnehmer tragen die vollständige Verantwortung 

für die Sicherheit und die gesetzeskonforme Benutzung des Terminals. 

Wenn kein Nutzungsreglement erlassen wird, besteht Unklarheit über 

die Befugnis zur privaten Internet- und E-Mail-Nutzung. Gewisse Kreise 

vertreten die Auffassung, dass das Verbot privaten Telefonierens auf die 

private Internetnutzung analog anwendbar sei. Die Interessen und Mittel 

des Arbeitgebers müssen jedenfalls gewährleistet bleiben. Letzteres 

hängt mit der Sorgfalts- und Treuepflicht (Art. 321a OR) zusammen, die 

den Arbeitnehmer verpflichtet, die Interessen des Arbeitgebers zu wahren. 

Was dies im Zusammenhang mit der Internetnutzung bedeutet, 

hängt von den konkreten Umständen im Einzelfall ab. Die Gefahr besteht, 

dass der Arbeitgeber falsch beurteilt, ob eine Surftour zulässig 

ist.


22 


Aus diesen Gründen ist es empfehlenswert, ein schriftliches Nutzungsreglement 

zu erlassen. Je konkreter und klarer dieses ist, desto unmissverständlicher 

sind die Grenzen der erlaubten privaten Internetnutzung 

am Arbeitsplatz.


23 


6. Gesetzliche Grundlagen der Überwachung 

Die Gefahr der dauerhaften Verhaltensüberwachung der Arbeitnehmer 

am Arbeitsplatz war 1984 Auslöser einer parlamentarischen Motion 11 

über den Persönlichkeitsschutz von Arbeitnehmern. Infolge dieser Motion 

erliess der Bundesrat eine Verordnung, welche die gezielte Verhaltensüberwachung 

am Arbeitsplatz verbietet (Art. 26 Abs. 1 Verordnung 

3 zum Arbeitsgesetz, ArGV 3, SR 822.113). Sind Überwachungs- und 

Kontrollsysteme aus anderen Gründen erforderlich, müssen sie so gestaltet 

und angeordnet sein, dass sie die Gesundheit und die Bewegungsfreiheit 

der Arbeitnehmer nicht beeinträchtigen (Art. 26 Abs. 2 

ArGV 3). Geschützt werden soll in erster Linie die Gesundheit und die 

Persönlichkeit der Arbeitnehmer vor ständiger, gezielter Verhaltensüberwachung 

durch Einsatz eines Überwachungssystems. 12 Die Verhaltensüberwachung 

ohne Überwachungssystem fällt nicht in den Anwendungsbereich 

von Art. 26 ArGV 3. 

Im Zusammenhang mit dem Surfen und der Nutzung von E-Mail am Arbeitsplatz 

bedeutet dies, dass Überwachungen der Internet- und E- 

Mail-Nutzung durch ständige, personenbezogene Auswertungen der 

Protokollierungen nicht zulässig sind. Aus diesem Grund dürfen auch 

Spionprogramme (vgl. Kapitel 4) nicht eingesetzt werden. Bei den Spionprogrammen 

handelt es sich um ein leistungsstarkes System zur 

heimlichen Überwachung des Verhaltens von Arbeitnehmern am Arbeitsplatz. 

Ihr Einsatz stellt sowohl eine Verletzung des Verhaltensüberwachungsverbotes 

als auch des Grundsatzes von Treu und Glaube dar. 

Das Aufnehmen, Beobachten, Analysieren, Speichern und Weiterbearbeiten 

von Informationen und Aktivitäten aller Art am PC ohne Einwilligung 

der betroffenen Person ergründet ausserdem u. E. eine Verletzung 

des Geheim- oder Privatbereiches durch Aufnahmegeräte im Sinne 

des Strafgesetzbuches. Dadurch, dass er mit Überwachungs- und 

Aufnahmefunktionen dotiert wird, wird der PC zum Aufnahmegerät. Die 

Privatsphäre am Arbeitsplatz wird sowohl arbeitsrechtlich als auch 

durch das verfassungsmässige Fernmeldegeheimnis (BGE 126 I 50) geschützt. 

Aufgrund der vielfältigen Funktionen und Programmierungsmöglichkeiten 

der Überwachungsprogramme kann der Eingriff in die 

Persönlichkeit des Arbeitnehmers u. U. noch tiefgreifender sein als 

durch den Einsatz einer Videokamera. 

Ein Beispiel von Spionprogrammen stellen sogenannte Content Scanners 

dar. Ein Content Scanner ist eine Software, welche die gesendeten 

und/oder empfangenen E-Mails nach bestimmten vordefinierten Stichwörter 

auswertet und entsprechend reagiert (z. B. Sperrung, Löschung,


24 


Kopie an Systemadministrator oder gar an Vorgesetzten). Beim Content 

Scanner ist die Gefahr der Persönlichkeitsverletzung durch systematische 

Verhaltensüberwachung offensichtlich. Die Wirksamkeit solcher 

stichwortbasierten Filtrierungen ist ausserdem bestreitbar, da sie entweder 

zuviel oder zuwenig abwehren. Die absolute Inhaltssicherheit ist 

auf jeden Fall illusorisch, da z. B. die vermehrt angepriesenen verschlüsselten 

E-Mails nicht analysierbar sind. Hinzu kommt, dass E-Mails, die 

als privat gekennzeichnet sind, in keinem Fall inhaltlich ausgewertet 

werden dürfen. 

Das Bundesgericht hat über elektronische Überwachungssoftware 

noch kein Urteil gefällt. 

Gestattet sind permanente anonymisierte Auswertungen der Protokollierungen 

sowie stichprobenartige pseudonymisierte Auswertungen 

der Protokollierungen, um zu überprüfen, ob das Nutzungsreglement 

eingehalten wird (vgl. Kapitel 8.4.1.1). Solche Auswertungen dienen 

dazu, Beweise zu erheben, um Missbräuche sanktionieren zu können, 

die durch die technischen Schutzmassnahmen nicht verhindert werden 

konnten (z. B. Zugriffe auf Internetseiten, die nicht auf die Sperrliste der 

Firewall figurieren). 

Wenn ein Missbrauch festgestellt wird – und die Belegschaft vorher in 

einem Überwachungsreglement (vgl. Kapitel 7.1) informiert wurde – 

kann dies zu einer namentlichen Auswertung der Protokollierungen 

führen. 

Das Verbot der Verhaltensüberwachung gemäss Art. 26 ArGV3 gilt also 

nicht absolut. Es geht vielmehr darum, den Persönlichkeitsschutz der 

Arbeitnehmer und die Interessen des Arbeitgebers (vgl. Kapitel 2) 

gegeneinander abzuwägen. In Einzelfällen, wenn Missbräuche festgestellt 

werden und die entsprechende vorherige Information (Überwachungsreglement) 

besteht, dürfen personenbezogene Verhaltensüberwachungen 

vorgenommen werden. Werden keine Missbräuche festgestellt, 

müssen sowohl die Gewährleistung der Sicherheit als auch die 

Überwachung der Einhaltung des Nutzungsreglements anonym oder 

pseudonym bleiben. 13 

Neben Art. 26 ArGV 3 schützen auch das Datenschutzgesetz sowie Art. 

328 und 328b OR die Persönlichkeit des Arbeitnehmers. Diese Bestimmungen 

sehen auch vor, dass der Arbeitgeber Personendaten nur unter 

Einhaltung des Zweckbindungs- und Verhältnismässigkeitsprinzips 

bearbeiten darf.


25 


Viele Arbeitgeber stellen ihren Arbeitnehmern tragbare Arbeitsinstrumente 

zur Verfügung. Diese sind auch von der Überwachung betroffen, 

was ein besonderes Problem darstellt, da diese Geräte oft auch privat 

benutzt werden. 

Der Arbeitnehmer darf vom Arbeitgeber jederzeit Auskunft darüber verlangen, 

ob Daten über ihn bearbeitet werden (Art. 8 Abs. 1 DSG, vgl. 

Kapitel 8.1.2). Dies kann sogar eine überwachungshemmende Wirkung 

auf den Arbeitgeber haben. 

Personendaten dürfen nicht ohne Einwilligung der betroffenen Personen 

oder einen anderen Rechtfertigungsgrund an unberechtigte Dritte 

bekannt gegeben werden (Art. 12 und 13 DSG). Die Arbeitskollegen der 

betroffenen Person gelten in Bezug auf den Datenschutz als Dritte. 

Sowohl die Informatikdienste bzw. die Sicherheitsbeauftragten als auch 

die Vorgesetzten und Personaldienste haben die Personendaten 

(hauptsächlich die Protokollierungen und deren Auswertungen), die sie 

im Zusammenhang mit einer Überwachung bearbeiten, durch angemessene 

technische Schutzmassnahmen gegen unbefugte Zugriffe zu 

schützen (Art. 7 Abs. 1 DSG). 14 Sie sorgen insbesondere für die Vertraulichkeit, 

die Verfügbarkeit und die Integrität der Personendaten (Art. 8 

Abs. 1 der Verordnung zum DSG, VDSG, SR 235.11).


26 


7. Die wichtigsten rechtlichen Voraussetzungen 

für die Überwachung des Surfens und 

der E-Mail-Nutzung 

Um eine personenbezogene Überwachung einleiten zu dürfen, muss 

der Arbeitgeber die Belegschaft vorher informieren und einen Missbrauch 

festgestellt haben oder es muss ein Missbrauchsverdacht entstanden 

sein. Im Detail gelten folgende Regeln. 

7.1 Die vorherige Information 

Anders als beim Nutzungsreglement, das nicht obligatorisch ist, hat der 

Arbeitgeber die Pflicht, ein Überwachungsreglement zu erlassen, da die 

Überwachung einen Eingriff in die Privatsphäre des Arbeitnehmers darstellen 

kann (Prinzip von Treu und Glauben, Art. 4 Abs. 2 DSG). Ein solcher 

Eingriff ist dann gegeben, wenn Protokollierungen privater Surftouren 

personenbezogen ausgewertet werden. Das Überwachungsreglement 

wird aus Gründen der Transparenz und Rechtssicherheit schriftlich 

und in der Regel zusammen mit dem Nutzungsreglement in einem 

einzigen Dokument verfasst (vgl. Musterreglement, Anhang C). 

Der Arbeitgeber muss im Überwachungsreglement darüber informieren, 

dass die Möglichkeit der personenbezogenen Auswertung der Protokollierungen 

besteht (vgl. Kapitel 8.2 und 8.3) und dass die Auswertungsresultate 

an den Personaldienst und an den Vorgesetzten weitergegeben 

werden, falls ein Missbrauch festgestellt wird. Sieht das Überwachungsreglement 

diese Information nicht vor, so muss dies 

nachgeholt werden, bevor Protokollierungen personenbezogen ausgewertet 

werden. Die Information hat demzufolge vor dem Missbrauch 

bzw. Missbrauchsverdacht und nicht lediglich vor der personenbezogenen 

Auswertung der Protokollierungen zu erfolgen. Ausnahmsweise, 

wenn ein schwerer Missbrauch vorliegt, kann die vorherige Information 

erst vor der personenbezogenen Auswertung der Protokollierungen erfolgen, 

falls sie früher nicht vorhanden war. In der Abwägung überwiegen 

in solchen Fällen die Interessen des Arbeitgebers an die Identifikation 

des fehlbaren Arbeitnehmers. 

Empfehlenswert ist auch darüber zu informieren, wer für die personenbezogene 

Auswertung der Protokollierungen zuständig ist, welche konkreten 

arbeitsrechtlichen Sanktionen ergriffen werden können und wie 

bei Verdacht auf eine Straftat vorgegangen wird. Ratsam ist ferner die 

Information über die eingesetzten Protokollierungen, deren Zweck, Inhalt, 

Aufbewahrungsdauer und Auskunftsrecht.


27 


Im Zusammenhang mit der E-Mail-Benutzung hat der Arbeitgeber auch 

die externen E-Mail-Empfänger und -Absender über das Vorliegen von 

Überwachungen bzw. von Stellvertretungen zu informieren. Dies könnte 

bspw. in den Fusszeilen zusammen mit der Vertraulichkeits- und 

Amtlichkeitsklausel jedes ausgehenden E-Mails erfolgen. 

Die Kenntnis, dass eine Überwachung möglich ist, kann eine abschreckende 

Wirkung auf das Surfverhalten der Arbeitnehmer haben. 

7.2 Die Feststellung eines Missbrauches 

Ein Missbrauch liegt vor, wenn das Nutzungsreglement verletzt worden 

ist. Missbräuchlich ist je nach Nutzungsreglement z. B. das Surfen auf 

Web-Seiten, die keine berufliche Relevanz aufweisen, oder das private 

Surfen tout court, wenn es ausdrücklich verboten wurde. Der wegen 

den ergriffenen technischen Schutzmassnahmen misslungene Versuch, 

auf gesperrte Internetseiten zuzugreifen, stellt hingegen keinen 

Missbrauch dar. 

Fehlt ein Nutzungsreglement, so können die Treuepflicht oder das 

Zweck- und Verhältnismässigkeitsprinzip trotzdem verletzt werden. Ist 

dies der Fall, dann spricht man auch von einem Missbrauch. 

Ein Missbrauch kann durch anonyme oder pseudonyme Überwachungen 

der Einhaltung des Nutzungsreglements (vgl. Kap. 8.2 und 8.3), bei 

der Gewährleistung der Sicherheit (z. B. beim Herausfinden der Quelle 

eines Virus oder eines internen Hackingversuches) oder durch andere 

Hinweise (z. B. Vorfinden von gedrucktem privatem Material beim Firmendrucker, 

versehentliche Zustellung von privaten E-Mails an Vorgesetzten 

oder eine Überlastung der E-Mail-Box eines Arbeitnehmers) 

festgestellt werden.


28 


8. Die Überwachung des Surfens und der E- 

Mail-Benutzung am Arbeitsplatz 

Es ist an dieser Stelle nochmals klar festzuhalten, dass sowohl die technische 

Prävention als auch die Sensibilisierung und Mitwirkung der Arbeitnehmer 

Vorrang gegenüber der Überwachung haben. Nur wenn ein 

Missbrauch so nicht verhindert werden kann, darf der Arbeitgeber eine 

personenbezogene Überwachung in Betracht ziehen. 

Die Überwachung des privaten Surfens wird von derjenigen der privaten 

E-Mail-Benutzung separat betrachtet. 

Zu bemerken ist, dass in Kleinunternehmen die nachfolgenden Ausführungen 

kaum Anwendung finden, da keine richtige Anonymität garantiert 

werden kann. 

In den folgenden Kapiteln wird insbesondere die Überwachung des 

Surf- und E-Mail-Verhaltens aufgrund der Auswertung der Protokollierungen 

erörtert. Wegen ihrer präventiven, permanenten und vorsätzlichen 

Natur ist sie die geläufigste und gefährlichste Art der Überwachung. 

Möglich ist aber auch die zufällige Überwachung im Rahmen der Gewährleistung 

der Sicherheit und Funktionstüchtigkeit der technischen 

Ressourcen oder aufgrund anderer Hinweise. 

8.1 Überwachung im Rahmen der Gewährleistung der Sicherheit 

und der Funktionstüchtigkeit des betrieblichen EDV- 

Systems 

Eine Aufgabe der Informatikdienste oder Sicherheitsbeauftragten eines 

Unternehmens besteht in der Gewährleistung der Sicherheit und Funktionstüchtigkeit 

der technischen Mittel. In Kleinbetrieben ist der Vorgesetzte 

oft dafür selber zuständig. Die Gewährleistung der Sicherheit erfolgt 

laufend, meistens durch den Einsatz von technischen Schutzmassnahmen 

(z. B. Intrusion Detection System), und anonym. Die Abwehr 

von internen oder externen Angriffen wird weitgehend diesen 

Massnahmen überlassen. Der Arbeitgeber hat dafür zu sorgen, dass die 

technischen Schutzmassnahmen regelmässig dem neusten Stand der 

Technik angepasst werden. 

Manifestiert sich eine technische Störung trotz Schutzmassnahmen, 

können bei der Suche nach deren Ursache die Protokollierungen beigezogen 

werden. Die Ursache der Störung kann zugleich einen Missbrauch 

darstellen oder einen Missbrauchsverdacht erwecken. Im Falle 

eines erwiesenen Missbrauches kann der identifizierte Mitarbeiter gemäss 

den Ausführungen in Kapitel 10 sanktioniert werden.


29 


8.2 Überwachung aufgrund anderer Hinweise 

Der Missbrauchsverdacht oder der Missbrauch kann auch 

zufälligerweise, durch andere Hinweise entstehen bzw. festgestellt werden 

(vgl. Kapitel 7.2). Zur Identifikation des fehlbaren Mitarbeiters können, 

falls nötig, die entsprechenden Protokollierungen (z. B. die Protokollierung 

des Druckers) oder auch nur deren Auswertungen beigezogen 

werden. Bei erwiesenem Missbrauch kommen die Sanktionen gemäss 

Kapitel 10 zur Anwendung. 

8.3 Überwachung aufgrund der Auswertungen der Protokollierungen 

Bei der Auswertung einer Protokollierung geht es um eine übersichtliche 

Analyse von protokollierten Aktivitäten nach bestimmten, vordefinierten 

Kriterien. Die Auswertung wird durch ein dafür vorgesehenes 

Programm erzeugt. Eine oder mehrere miteinander verknüpfte Auswertungen 

(z. B. aus Internet-, E-Mail- und Telefonaktivitäten) können Persönlichkeitsprofile 

bilden. Deshalb könnte der Auswertungstool eine 

Protokollierung über die erzeugten Auswertungen vornehmen. 

Es bestehen hauptsächlich drei verschiedene Auswertungsarten: die 

anonyme, die pseudonyme und die namentliche Auswertung. 

Bei der anonymen Auswertung geht es um die statistische Analyse 

der Protokollierungen (z. B. nach dem Kriterium der meistbesuchten Internet-Seiten 

oder nach der Anzahl gesendeter E-Mails). Die Auswertung 

kann sowohl die gesamte Arbeitnehmerschaft einer Firma als 

auch nur einen Teil davon (z. B. eine bestimmte Firmenabteilung) betreffen. 

Um die Anonymität zu gewährleisten, hat die untersuchte Personenmenge 

genügend gross zu sein. 

Bei der pseudonymen Auswertung geht es um eine Protokollierungsanalyse 

nach pseudonymisierter, bestimmbarer Person (z. B. die meist 

besuchten Internet-Seiten pro pseudonymisierte Person). Das Pseudonym 

muss genügend robust sein, um die Identität der betroffenen Person 

in der Phase der nichtpersonenbezogenen Überwachung (vgl. Kapitel 

8.4.1.1) zu schützen. Sowohl User-ID als auch statisch vergebene 

IP-Adresse gelten nicht als robuste Pseudonyme, da damit die Identität 

der betroffenen Personen leicht zu rekonstruieren ist. 

Die namentliche Auswertung stellt eine Protokollierungsanalyse nach 

einer bestimmten Person dar. Die Relation der Pseudonyme mit den 

entsprechenden Personennamen befindet sich in der sogenannten 

Korrespondenzliste. Durch Verknüpfung des Pseudonyms mit der Kor-


30 


respondenzliste lässt sich die Identität der betroffenen Person ermitteln 

(Reidentifikation/namentliche Auswertung). Es ist empfehlenswert, die 

Auswertungen der Protokollierungen von der Korrespondenzliste (Benutzernamen 

und entsprechende Pseudonyme) physisch und funktionell 

(durch zwei verschiedene Personen) getrennt aufzubewahren. 

Es ist aber zu bedenken, dass weder getrennte Listen noch Pseudonymisierung 

der Benutzernamen eine anonyme Überwachung garantieren, 

wenn die Korrespondenzlisten allgemein auffindbar sind 15 . 

Speziell gilt, dass die namentliche Auswertung der Protokollierung der 

E-Mails, welche gemäss Kapitel 8.5 als privat bezeichnet sind, nur folgende 

Elemente zu enthalten hat: Datum, Zeit, Absenderadresse (unterdrückt 

bei eingehenden E-Mails), Empfängeradresse (unterdrückt bei 

ausgehenden E-Mails), Vermerk . Mit anderen Worten, darf nur 

die E-Mail Adresse des Arbeitnehmers in der namentlichen Auswertung 

erscheinen. 

8.4 Die Überwachung aufgrund der Auswertungen der Surfprotokollierungen 

Die Überwachung der Auswertungen der Internetprotokollierungen 

dient dem Schutz der Interessen des Arbeitgebers gemäss Kapitel 2 dieses 

Leitfadens. 

Die Überwachung der Auswertungen der Internetprotokollierungen unterteilt 

sich in zwei Phasen: 

- Nichtpersonenbezogene Überwachung; 

- Personenbezogene Überwachung. 

8.4.1 Erste Phase: Nichtpersonenbezogene Überwachung 

Die Zwecke der ersten Phase der Überwachung, die sogenannte nichtpersonenbezogene 

Überwachung, bestehen hauptsächlich in der Erstellung 

von Statistiken und in der Kontrolle der Einhaltung des Nutzungsreglements. 

- Erstellung von Statistiken: Statistiken erfolgen aufgrund anonymer 

Auswertungen der Protokollierungen und bezwecken die strukturierte, 

anonyme Wiedergabe der durchschnittlichen Internetbenutzung. 

- Kontrolle der Einhaltung des Nutzungsreglements: Unter der 

Voraussetzung, dass die Arbeitnehmer vorgängig im Überwachungsreglement 

darüber informiert wurden (vgl. Kapitel 7.1 und Anhang C),


31 


darf der Arbeitgeber die Einhaltung des Nutzungsreglements kontrollieren. 

Je nach Überwachungsreglement erfolgt diese Kontrolle durch 

eine anonyme und/oder durch eine pseudonyme Auswertung der 

Protokollierungen. Die anonyme Auswertung ermöglicht keine Identifikation 

und darf demzufolge permanent erfolgen. Die pseudonyme 

Auswertung ermöglicht die Überwachung des Verhaltens einer bestimmbaren 

Person im Vergleich zum durchschnittlichen (anonymen) 

Verhalten. Sie darf nur stichprobenartig, nach einem bestimmten 

Zeitplan erfolgen (z. B. ein Tag pro Monat, unter Angabe der betroffenen 

Woche; Dadurch soll das Gefühl der ständigen, individuellen Verhaltensüberwachung 

verhindert werden). Die Überwachung der gesamten 

Zeitspanne seit der letzten Stichprobe (z. B. durch Content 

Scanner oder Spionprogramme, vgl. Kapitel 8.2.3) käme hingegen einer 

ständigen Verhaltensüberwachung der gesamten Arbeitnehmerschaft 

gleich, welche gemäss Art. 26 ArGV 3 nicht zulässig ist. Die 

nichtpersonenbezogene Überwachung der Einhaltung des Nutzungsreglements 

sollte durch den Datenschutzberater der Firma, 

durch einen dafür speziell ausgebildeten Mitarbeiter oder durch eine 

externe Vertrauensperson durchgeführt werden. Die beauftragte Person 

muss über ihre Verantwortung klar informiert werden, besonders 

im Zusammenhang mit dem Verbot von personenbezogenen Auswertungen 

in dieser Phase. 

8.4.2 Zweite Phase: Personenbezogene Überwachung 

Bei der zweiten Phase der Überwachung, der sogenannten personenbezogenen 

Überwachung, geht es um die Identifikation bzw. Reidentifikation 

einer Person im Falle einer Missbrauchsfeststellung oder eines 

Missbrauchsverdachts in der ersten Phase. 

Beim Missbrauchsverdacht 16 wird die pseudonymisierte Auswertung 

der Protokollierung herangezogen und durch Verknüpfung mit der Korrespondenzliste 

namentlich ausgewertet. Das Ziel dieser namentlichen 

Auswertung besteht darin, das Bestehen eines Missbrauches zu bestätigen 

oder den Missbrauchsverdacht zu eliminieren. Wird der Missbrauchsverdacht 

nicht bestätigt, hört man mit der namentlichen Auswertung 

der Protokollierung sofort auf. Der Arbeitgeber bleibt aber 

weiterhin gehalten, die technischen Schutzmassnahmen und/oder das 

Nutzungsreglement an den technischen Fortschritt anzupassen, z. B. 

durch die Beschaffung eines aktualisierten Antivirusprogramms oder 

durch die Erweiterung der Firewall mit einer überarbeiteten Sperrliste.


32 


Liegt ein Missbrauch gemäss Kapitel 7.2 vor, passt der Arbeitgeber 

zuerst die technischen Schutzmassnahmen sowie, wenn nötig, das 

Nutzungsreglement an. Die Anpassung des Nutzungsreglements wird 

den Arbeitnehmern mitgeteilt. 

Die Identifikation bzw. Reidentifikation des fehlbaren Arbeitnehmers erfolgt 

gemäss Kapitel 8.3. Danach kann der Arbeitgeber die passenden 

arbeitsrechtlichen Massnahmen treffen (vgl. Kapitel 10). 

Da eine solche Bearbeitung der Protokollierung weitere, mit dem Missbrauch 

nicht zusammenhängende Personendaten enthüllen kann, ist 

die mit der Auswertung beauftragte Person an das Berufsgeheimnis 

besonders gebunden. Sie darf solche Daten nicht missbrauchen. Im Falle 

einer Datenbearbeitung durch Dritte hat der Arbeitgeber Letztere 

darauf hinzuweisen (Art. 14 DSG). 

8.5 Die Überwachung des E-Mail-Verkehrs 

8.5.1 Die Überwachung des privaten e-Mail-Verkehrs 

Für die E-Mail-Überwachung gelten die mehr oder weniger gleichen 

Grundsätze wie für die klassische Papierpost. In den folgenden Zeilen 

wird deshalb zuerst die Überwachung der Papierpost am Arbeitsplatz 

behandelt 17 . 

Die private Post am Arbeitsplatz geniesst uneingeschränkten Schutz. 

Die private Post ist demzufolge ungeöffnet an die adressierte Person 

weiterzuleiten. Wird private Post durch Drittpersonen trotzdem geöffnet, 

so liegt eine widerrechtliche Persönlichkeitsverletzung vor. Letztere 

kann entweder zivil- (Art. 15 DSG) oder verwaltungsrechtlich (Art. 25 

DSG) verfolgt werden. In beiden Fällen bleiben auch strafrechtliche Konsequenzen 

vorbehalten (Art. 179 StGB). Als Privatpost gilt eine Sendung, 

bei der erkennbar ist, dass sie einem Arbeitnehmer nicht in beruflicher 

Eigenschaft, sondern als Privatperson zugestellt worden ist. Anhaltspunkte 

für Privatpost sind besondere Vermerke wie „privat“ oder „eigenhändig“. 

Massgebend ist auch die Art der Sendung (Todesanzeige, 

adressierte Zeitung oder Zeitschrift) oder äussere Merkmale (Kleinformate, 

farbiges Papier, Postkarten, an einen Bediensteten adressierte 

Militärpost). 

Die Anschrift „Herr X, Dienststelle Y“ lässt somit erst dann auf den persönlichen 

Inhalt schliessen, wenn dies durch einen Zusatz (privat, usw.) 

zum Ausdruck gebracht wird. Das blosse Voranstellen des Namens genügt 

nicht, um zu zeigen, dass die Sendung einem Bediensteten als Privatperson 

zugestellt worden ist (BGE 114 IV 16). 

Ähnlich wie im Post- sowie Telefoniebereich darf der Arbeitgeber aufgrund 

des Persönlichkeitsschutzes und des Verhaltensüberwachungs-


33 


verbotes keine Einsicht in den Inhalt privater E-Mails des Arbeitnehmers 

haben. Aufgrund der Adressierungselemente ist eine automatisierte 

Unterscheidung zwischen privaten und geschäftlichen E-Mails 

kaum möglich. Private E-Mails sind vom Absender demzufolge durch 

eine Vermerkoption „privat“ zu kennzeichnen. Wenn kein Unterscheidungsvermerk 

zwischen privaten und beruflichen E-Mails besteht und 

die private Natur eines E-Mails aufgrund der Adressierungselemente 

nicht erkennbar und nicht anzunehmen ist, darf der Arbeitgeber – analog 

den klassischen Postsendungen – davon ausgehen, dass das E-Mail 

beruflich ist. Bestehen Zweifel über die Natur eines E-Mails, ist sie mit 

dem Angestellten zu klären. 

Ein Entpacken und weiteres Bearbeiten (z. B. Sichern, Weiterleiten, 

Scannen) von E-Mails, welche als „privat“ gekennzeichnet bzw. erkennbar 

sind, bleibt dem Arbeitgeber somit verwehrt. Die Respektierung der 

Privatsphäre als Teil der Persönlichkeit zeigt sich auch beim verfassungsmässigen 

Fernmeldegeheimnis, welches auch für den E-Mail-Verkehr 

über Internet gilt (BGE 126 I 50, insb. Erw. 6a). Danach darf die Einsicht 

in eine private E-Mail nur mit richterlicher Genehmigung für die 

Verfolgung von Verbrechen oder Vergehen erfolgen. Eine Möglichkeit, 

den Inhalt von privaten E-Mails zu schützen, besteht darin, einen internetbasierten, 

vom geschäftlichen getrennten und wenn möglich verschlüsselten 

E-Mail-Dienst zu gebrauchen. 18 

Ob internetbasierte, verschlüsselte E-Mail-Dienste überhaupt benutzt 

werden dürfen, hängt vom Nutzungsreglement ab. Ist die Internetnutzung 

verboten, geht der Arbeitnehmer das Risiko ein, wegen privaten 

Surfens am Arbeitsplatz sanktioniert zu werden. Für den privaten E- 

Mail-Gebrauch am Arbeitsplatz gilt also folgende Regel: Lässt das Nutzungsreglement 

die private E-Mail-Nutzung zu, so besteht zum besseren 

eigenen Schutz die Möglichkeit, ein webbasierter, wenn möglich 

verschlüsselter E-Mail-Dienst zu benutzen. Ist die private E-Mail-Nutzung 

am Arbeitsplatz untersagt, verzichtet man am besten darauf. Eine 

vollständige Verhinderung eingehender privater E-Mails ist hingegen 

nicht möglich. Der Arbeitgeber muss sich bewusst sein, dass er den 

Arbeitnehmer nicht für den Eingang aller privater E-Mails verantwortlich 

machen kann. 

Organisatorisch erfolgt die Archivierung der E-Mails heutzutage in der 

Regel noch im E-Mail-Server. Die entsprechenden Backups können, 

wenn dies im Überwachungsreglement vorgesehen ist und die Protokollierungen 

keine Identifikation ermöglicht haben, nicht nur bei Datenverlust, 

sondern auch zur Identifikation fehlbarer Mitarbeiter oder zur 

Erhärtung von Missbrauchsverdacht verwendet werden. 

Aus Gründen einer klaren Unterscheidung zwischen privaten und ge-


34 


schäftlichen E-Mails, aber auch zur besseren Verwaltung der geschäftlichen 

E-Mails wird jedoch empfohlen, die E-Mail-Box nicht als Archiv zu 

gebrauchen. Private E-Mails sollen auf einem privaten Datenträger, geschäftliche 

E-Mails in ein geschäftliches Dokumentverwaltungssystem 

verschoben werden. Dadurch wird ein beträchtlicher Beitrag am Schutz 

der eigenen Privatsphäre geleistet, da unter anderem keine privaten E- 

Mails in geschäftlichen Backups gespeichert werden. 

8.5.1.1 Vorgehensweise 

Für die Überwachung der Einhaltung der E-Mail-Nutzungsregelung gelten 

die gleichen Ausführungen wie für die Überwachung des Surfens 

(vgl. Kapitel 8.1 ff). 

8.5.2 Die Überwachung des geschäftlichen E-Mail-Verkehrs 

Die Geschäftsverwaltung setzt eine systematische Registrierung und 

Nachvollziehbarkeit von allen ein- und ausgehenden geschäftlichen 

Dokumenten (inkl. E-Mails) voraus. Die Firma hat das Recht, die geschäftlichen 

E-Mails vollständig zu protokollieren und inhaltlich zu sichern 

(Backup). Es empfiehlt sich, die Protokollierung auf die Betreffzeile, 

Datum, Zeit, Absender- und Empfängeradresse zu beschränken. Im E- 

Mail-Bereich, analog wie mit der herkömmlichen postalischen Geschäftskorrespondenz, 

bestehen zwei Adressierungsmodi: Die 

namentliche (z. B. hans.meier@firma.ch oder hans.meier@verkauf.firma. 

ch) und/oder die namenlose, funktionelle (z. B. info@firma.ch, 

verkauf@firma.ch, oder verkaufsleiter@firma.ch) Adressierung. Heutzutage 

ist die namentliche Adressierung weit verbreitet. 

Die namentliche Adressierung alleine bereitet eine Vielzahl von Nachteilen 

bei der Geschäftsverwaltung: Die Mailverwaltung während Abwesenheiten 

und beim Verlassen der Firma und die damit verbundene 

Schwierigkeit der Unterscheidung zwischen privaten und geschäftlichen 

E-Mails. Wenn kein Unterscheidungsvermerk zwischen privaten 

und beruflichen E-Mails besteht und die private Natur eines E-Mails aufgrund 

der Adressierungselemente nicht erkennbar und nicht anzunehmen 

ist, darf der Arbeitgeber – analog den klassischen Postsendungen 

– davon ausgehen, dass das E-Mail beruflich ist. 

Die namenlose, funktionelle Adressierung ist für die nicht persönliche 

geschäftliche Korrespondenz geeignet, da sie die oben erwähnten 

Schwierigkeiten der namentlichen Adressierung nicht aufweist. Die namentliche 

Adressierung sollte für den rein persönlichen, geschäftlichen 

Informationsaustausch (z. B. bei Personalangelegenheiten oder persönlichen 

Mitteilungen) gebraucht werden.


35 


8.5.2.1 Die E-Mail-Verwaltung während Abwesenheiten 

Was die vorhersehbaren Abwesenheiten (z. B. Ferien, Urlaub, Militärdienst) 

betrifft, bestehen hauptsächlich drei Verwaltungsarten: 

- Definieren einer automatischen Antwort an den Absender mit Abwesenheitsmeldung 

und Notfallkoordinaten. 

- Definieren einer Weiterleitung des Eingangs an einen Stellvertreter. 

Diese Lösung ist mit dem Risiko verbunden, dass private E-Mails, welche 

als solche nicht vermerkt sind, an den gewählten Stellvertreter 

gelangen. 

- Definieren eines Stellvertreters mit abgestufter Berechtigung zur Einsicht 

und eventuellen Weiterbearbeitung der geschäftlichen eingehenden 

E-Mails. Die als privat gekennzeichneten E-Mails sind für den 

Stellvertreter nicht sichtbar. Dadurch bleibt die Privatsphäre des abwesenden 

Arbeitnehmers geschützt. Dem Absender muss bewusst 

sein, dass das E-Mail durch den Stellvertreter eingesehen wird, wenn 

es nicht als „privat“ erkannt werden kann. 

Bei „unvorhersehbaren“ Abwesenheiten (z. B. Krankheit, Unfall) ist ein 

Stellvertreter pro Mitarbeiter (vgl. C.) zum Voraus zu ernennen. 

8.5.2.2 Die E-Mail-Verwaltung beim Austritt eines Angestellten 

Vor dem Austritt hat ein Arbeitnehmer die noch hängigen Geschäfte 

wie E-Mails intern weiterzuleiten. Der Arbeitnehmer hat die Übergabe 

sämtlicher Geschäftsdokumente an die Firma zu bestätigen 19 . Er muss 

die Möglichkeit haben, seine privaten E-Mails und andere Dokumente 

auf private Datenträger zu speichern und aus den Servern der Firma zu 

löschen. 

Beim Austritt (oder im Todesfall) ist spätestens am letzten Arbeitstag 

sein E-Mail-Account (wie übrigens auch alle anderen EDV-Accounts) zu 

sperren und sein Briefkasten (wie alle anderen persönlichen Datenträger) 

zu löschen. Der Arbeitgeber sollte sich dazu schriftlich verpflichten. 

Absender, welche E-Mails an die gesperrte E-Mail-Adresse schicken, 

werden automatisch informiert, dass die Empfängeradresse hinfällig 

ist. In der automatischen Antwort wird eine Ersatz-E-Mail-Adresse der 

Firma angegeben. 

8.5.3 Besondere Fälle der E-Mail-Überwachung 

Darf der Arbeitgeber einen Arbeitnehmer identifizieren, dem z. B. Persönlichkeitsverletzungen 

oder Mobbing durch anonyme E-Mails vorgeworfen 

werden?


36 


Die mögliche Persönlichkeitsverletzung eines Arbeitnehmers durch einen 

anderen Arbeitnehmer ist Sache der betroffenen Person und der 

Ziviljustiz. Der Arbeitgeber hat jedoch das Recht, selber die Identität der 

fehlbaren Person herauszufinden, wenn die Treuepflicht und die Interessen 

des Arbeitgebers auch tangiert werden (z. B. Leistungseinbruch 

durch Kränkung eines Arbeitnehmers). Die Identifikation ist ebenfalls erlaubt, 

wenn private E-Mails im Nutzungsreglement verboten sind. Der 

Rechtfertigungsgrund für die Identifikation der fehlbaren Person ist in 

einem solchen Fall die Verletzung des Nutzungsreglements resp. der 

Treuepflicht, nicht die vermeintliche Persönlichkeitsverletzung eines 

Mitarbeiters. 

8.6 Teleworker 

Unter Teleworker versteht man einen Arbeitnehmer mit Arbeitsplatz 

ausserhalb der Firma (z. B. Heimarbeiter via Internet). Dadurch, dass der 

Teleworker ausserhalb der Firma arbeitet und nicht unter direkter Beaufsichtigung 

des Arbeitgebers steht, ist die private Benutzung der vom 

Arbeitgeber zur Verfügung gestellten Arbeitsinstrumenten in der Regel 

grösser. Obwohl dies nicht ohne Weiteres als Missbrauch von geschäftlichen 

Ressourcen zu deuten ist, ist die Gefahr einer Persönlichkeitsverletzung 

durch Einsichtnahme in Protokollierungen oder in privaten Dateien 

durch den Arbeitnehmer grösser als beim klassischen Arbeitnehmer. 

Um diese Gefahr zu vermeiden, empfiehlt es sich, einen separaten 

Datenträger (z.B. externe Harddisk, Diskette, CD) für private Angelegenheiten 

einzusetzen. Dies erleichtert u. a. die einwandfreie Rückgabe des 

Arbeitsinstrumentes beim Verlassen der Firma.


37 


9. Die Überwachung im Falle einer Straftat 

Wenn der Arbeitgeber im Rahmen einer Überwachung oder durch andere 

Hinweise den konkreten Verdacht schöpft, dass eine Straftat per 

Surfen oder E-Mail begangen wurde, so kann er die entsprechenden 

Beweise, bestehend aus den Protokollierungen und eventuellen Backups, 

sichern. Da die Beweissicherung technisch komplex ist, sollte sie 

durch einen Spezialisten (forensic computing scientist 20 ) durchgeführt 

werden. 

Aufgrund der Protokollierungen oder einer Beschwerde von betroffenen 

Arbeitnehmern oder Dritten kann der Verdacht oder die Gewissheit 

über ein Verhalten entstehen, das nicht nur gegen Arbeitsvertrag oder 

Nutzungsreglement verstösst, sondern einen Straftatbestand erfüllt, 

wie zum Beispiel: 

- Rufschädigung (Art. 173ff StGB); 

- sexuelle Belästigung am Arbeitsplatz (Art. 198 StGB); 

- Verbreitung von rassistischem oder pornographischen Material (Art. 

261 bis und 197 StGB); 

- „Sabotage per Internet“ oder „Betriebsspionage“ (vgl. insb. Art. 143, 

143 bis , 144 bis , 147 StGB). 

Der Entscheid, ob Anzeige erstattet wird oder nicht, liegt bei den Vorgesetzten 

und ev. dem Personaldienst, nicht jedoch beim Informatikdienst. 

Es besteht keine Anzeigepflicht, es ist jedoch empfehlenswert, 

zumindest im Zusammenhang mit Offizialdelikten, Anzeige zu erstatten, 

um die Gefahr der Mittäterschaft zu verhindern. Da ein Missbrauch 

vorliegt, darf der Arbeitgeber die verdächtigte Person identifizieren und 

Anzeige gegen sie erstatten. Das weitere strafrechtliche Vorgehen ist 

Sache der zuständigen Behörde. Zum Beispiel kann die Anordnung einer 

weiteren personenbezogenen Überwachung des Internetverhaltens 

zur Erhärtung des Verdachtes wegen des schweren Eingriffs in die 

Persönlichkeit nur durch die zuständige Strafjustizbehörde angeordnet 

werden. Vom Arbeitgeber selber durchgeführte weitere personenbezogene 

Verhaltensüberwachungen zur Erhärtung des Verdachtes können 

als unzulässige Beweismittel im Rahmen eines Strafverfahrens betrachtet 

werden. Zudem können sie auch rechtliche Folgen für den Arbeitgeber 

nach sich ziehen (vgl. Kapitel 11). 

Der Arbeitgeber muss das Resultat der Ermittlungen gegenüber Dritten, 

insbesondere gegenüber den anderen Arbeitnehmern, vertraulich 

behandeln. 

Vorbehalten bleiben auch bei einer Straftat die arbeitsrechtlichen Sanktionen 

wegen Verletzung des Nutzungsreglements (vgl. Kapitel 10).


38 


10. Sanktionen bei Missbrauch 

Wenn die Voraussetzungen und die Regeln der Überwachung eingehalten 

worden sind, kann der Arbeitgeber (im Idealfall der direkte Vorgesetzte 

und ev. der Personaldienst) im Falle eines erwiesenen Missbrauchs 

arbeitrechtliche Sanktionen gegen den fehlbaren Arbeitnehmer 

aussprechen. Der Arbeitnehmer haftet für den Schaden, den er 

absichtlich oder fahrlässig dem Arbeitgeber zufügt (Art. 321e OR). 

In Frage kommen z. B. Abmahnungen, Sperrungen des Internetzugriffs, 

Schadenersatzforderungen, Lohnkürzungen oder Versetzungen. In extremen 

Fällen, wie bei wiederholtem Missbrauch mit technischer Störung 

trotz Abmahnung oder bei erwiesenen Straftaten kann der Arbeitgeber 

sogar die Entlassung aussprechen (Art. 335 OR). Die fristlose Entlassung 

eines Arbeitnehmers kann nur ausgesprochen werden, wenn 

dem Arbeitgeber nach Treu und Glauben die Fortsetzung des Arbeitsverhältnisses 

nicht mehr zugemutet werden kann (Art. 337 OR). 

Für das Aussprechen von Sanktionen sind die Vorgesetzten des fehlbaren 

Arbeitnehmers zuständig. Wenn es im Überwachungsreglement 

vorgesehen und der Missbrauch mit absoluter Sicherheit erwiesen ist, 

dürfen die Informatikdienste oder Sicherheitsbeauftragten selber Abmahnungen 

aussprechen sowie Zugriffsbeschränkungen oder Löschungen 

vornehmen. Vor einer Löschung müssen die betroffenen Arbeitnehmer 

informiert werden und soll ihnen die Möglichkeit gegeben 

werden, die betreffenden Dateien, z. B. E-Mails, auf privaten Datenträgern 

zu speichern. 

Die Sanktionen müssen der Schwere des jeweiligen Missbrauches angepasst 

und in ihrem Umfang bereits im Überwachungsreglement bestimmt 

oder bestimmbar sein. 

Ein Missbrauch muss nicht immer auf bösem Willen des Arbeitnehmers 

basieren. Oft stecken Neugier und fehlende Information über die damit 

verbundenen Sicherheitsgefahren durch den Arbeitgeber dahinter. Dieser 

trägt in solchen Fällen ein Teil der Verantwortung. 

Einen wesentlichen Teil der Verantwortung für die Infektion eines Rechners 

trägt der Arbeitgeber auch dann selber, wenn er kein oder kein 

geeignetes Antivirusprogramm installiert hat. Der Arbeitgeber muss 

dafür sorgen, dass das Antivirusprogramm regelmässig automatisch 

aktualisiert wird (insb. die Definitionsdateien) und vom Arbeitnehmer 

nicht deaktiviert werden kann. Auch für sonstige mangelnde Sicherheitsvorkehrungen 

trägt der Arbeitgeber einen Teil der Verantwortung.


39 


Wenn kein Nutzungsreglement mit klar definierten Unterscheidungskriterien 

zwischen zulässiger beruflicher Informationsbeschaffung und 

unzulässiger privater Surftour vorhanden ist, wird es in der Praxis nicht 

leicht sein, eine Internetnutzung für erlaubt oder unerlaubt zu erklären. 

In solchen Fällen dürfen Sanktionen gegen einen Arbeitnehmer nur 

dann ergriffen werden, wenn ein klarer Missbrauch vorliegt. 

Bei Mangel eines Nutzungsreglements sollte der Arbeitnehmer nur für 

vorsätzlich oder grobfahrlässig herbeigeführte Schäden haften. 

Die IP-Adresse und somit in der Regel auch die Identität des fehlbaren 

Arbeitnehmers kann bewusst vertuscht werden. Der Arbeitgeber verpflichtet 

sich, arbeitsrechtliche Sanktionen nur bei 100%-iger Sicherheit 

über die Identität des fehlbaren Arbeitnehmers zu treffen. Die Gefahr 

der Identitätsaneignung kann durch zeitgerechte Aktivierung eines 

Bildschirmschoners mit Passwortschutz stark vermindert werden. 

Vorbehalten bleibt die strafrechtliche Verfolgung durch die zuständige 

Behörde, wenn ein Straftatbestand vorliegt. 

Was die Beweislast betrifft, gilt folgende Regelung: Der Arbeitgeber 

muss die Verletzung der Pflichten des Arbeitnehmers und den daraus 

resultierenden Schaden beweisen. In der Folge kann der Arbeitnehmer 

den Beweis seiner Unschuld oder einer nur leichten Schuld erbringen 

(Art. 97 OR) 21.


40 


11. Ansprüche des Arbeitnehmers bei unzulässiger 

Überwachung 

Wenn der Arbeitgeber die einschlägigen Voraussetzungen und Regeln 

bei der Überwachungen der Internet- und E-Mail-Aktivitäten der Arbeitnehmer 

nicht einhält, so kann dies als widerrechtliche Persönlichkeitsverletzung 

gerichtlich angefochten werden (Art. 15 und 25 DSG). Für die 

Beweislast gilt Art. 97 OR. Der betroffene Arbeitnehmer kann seine Ansprüche 

(Feststellung der Widerrechtlichkeit, Schadenersatz, usw.) 

zuerst beim Arbeitgeber geltend machen. Geht dieser nicht auf die Forderungen 

des Arbeitnehmers ein, so kann der Arbeitsrichter angerufen 

werden. Dieser wendet in der Regel ein rasches und kostenloses Verfahren 

an. Auch die arbeitsrechtlichen Sanktionen, die der Arbeitgeber 

aufgrund einer missbräuchlichen Überwachung ausgesprochen hat, 

können angefochten werden (z. B. missbräuchliche Kündigung, Art. 336 

OR). 

Dem Arbeitgeber können im Falle einer missbräuchlichen Überwachung 

auch strafrechtliche Folgen drohen, z. B. infolge einer Verletzung 

des Geheim- oder Privatbereiches durch Aufnahmegeräte (Art. 179 quater 

StGB) oder bei unbefugtem Beschaffen von Personendaten (Art. 179 novies 

StGB). 

Zu den unzulässigen Überwachungen gehören insbesondere die personenbezogene 

Auswertung der Protokollierungen ohne vorherige Information 

der Arbeitnehmer und/oder ohne Feststellung eines Missbrauchs 

sowie der Einsatz von Spionprogrammen. 

Eidgenössischer Datenschutzbeauftragter 

3003 Bern 

Tel. 031 322 43 95 

Fax 031 325 99 96


41 


Anhang A: Situationsschema 

Wardriving 

Laptop 

Demilitarisierte 

Zone 

Internet 

Intrusion Detection 

System (IDS) 

Abbildung 1 

Wireless LAN 

Wireless LAN 

VoIP 

Laserdrucker 

Telefon 

Server 

Access Point 

LAN 

HTTP Server 

Proxy Server 

Internal firewall 

External firewall 

(NAT) 

Intranet Server 

Server 

Server 

Computer: 

- Antivirus 

- IP DNS 

- Sniffer 

Internal server: 

- Diskquotas 

FTP Server 

Mail Server 

Infrared 

Bluetooth 

DHCP Server 

VPN Router 

Hacker 

Intranet 

DNS Server 

Palm-Top 

Modem 

pool 

Modem 

VPN Router 

Teleworker 

Reseller 

Log Files 

Extranet 

ISDN modem 

Branch Office


42 


Anhang B: Voraussetzungen und Ablauf 

B.1 Die Voraussetzungen der Überwachung 

� IP-Adresse; 

� User-Id; 

� URL; 

� Zeitangaben. 


(vgl. Kapitel 8.4.) 

Auswertung der 

Protokollierungen 



(vgl. Anhang A und 

Kapitel 4) 

� Sender- und Empfängeradressen; 

� Zeitangaben; 

� Betreffzeile; 

� usw. (aber kein Inhalt) 

Geschäftliche E- 

Mail 

(vgl. Kapitel 

8.5.2.) 

Abbildung 2 

Email 

Protokollierung der 

Aktivitäten des 

Auswertungstools 


Technische 

Voraussetzungen 

� Adresse des Arbeitnehmers; 

� Zeitangaben; 

� Vermerk "Privat". 

Private E-Mail 

(vgl. Kapitel 

8.5.1.) 

Technische und 

organisatorische 

Schutzmassnahmen 

(vgl. Kapitel 3) 

� Passwort; 

� Zugriffsschutz; 

� Verschlüsselung; 

� Antivirusprogramme; 

� Diskquotasmanagers; 

� Firewalls; 

� Backups; 

� Intrusion detection system; 

� Spyware blaster, detector and eraser; 

� Zugangskontrolle; 

� usw. 

Interne Information der kontrollierten und kontrollierenden Arbeitnehmer (vgl. 

Kapitel 5 und 7.1): 


� Nutzungsreglement; 

� Überwachungsreglement; 

� Regelmässige Schulung. 

Externe Information (E-Mail-Benutzer) 

(vgl. Kapitel 7.1) 

Verzicht auf Spionprogramme zur Verhaltensüberwachung 


Rechtliche 


Missbrauch oder Missbrauchsverdacht 


Auskunftsrecht 

(vgl. Kapitel 6.) 

Zweckgebundene Aufbewahrungsdauer der Protokollierungen 

(vgl. Kapitel 4.)


43 


B.2 Der Ablauf der Überwachung 

Andere Hinweise 

(intern und/oder extern) 


Gewährleistung der 

Sicherheit und der 

Funktionstüchtigkeit der 

technischen Einrichtungen 


Namentliche Auswertung der 


(vgl. Kapitel 8.4.2) 

Permanente, anonyme 

Überwachung 

(vgl Kapitel 8.3) 

Missbrauch 

Je nach Schwere des Missbrauchs (vgl. 

Kapitel 9 und 10): 

� Abmahnung; 

� Sperrung des Internetzugriffs; 

� Schadenersatzforderungen; 

� Beweissicherung und strafrechtiliche 

Anzeige; 

� Entlassung; 

� usw. 

Zivil- und strafrechtilche Klagemöglichkeiten 

bei Verletzung der Voraussetzungen der 

Überwachung durch den Arbeitgeber 


Abbildung 3 

Missbrauch oder 

Missbrauchsverdacht? 

Ja 

Ev. Anpassung des 

Nutzungsreglements und/ 

oder der technischen 


(vgl. Kapitel 8.1 ff) 

Missbrauch 

Stichprobenartige, 

pseudonyme Überwachung 

(vgl Kapitel 8.3) 

Nein 

Missbrauchsverdacht Kein Missbrauch 

Verdacht durch eine erste 

minimale namentliche 

Auswertung abklären 

(vgl Kapitel 8.4.2) 

Ev. Anpassung des 

Nutzungsreglements und/ 

oder der technischen 


(vgl. Kapitel 8.1 ff)


44 


B.3 Das Auswertungsverfahren 

DATE TIME USER-ID SENDER RECEIVER PRIVATE 

------------------------------------------------------------------------------ 

010103 23:59 PETER BEISPIEL PB@FIRMA.COM XY@PRIVAT.COM YES 

020103 00:02 HANS MUSTER HM@FIRMA.COM PB@FIRMA.COM NO 

020103 00:02 PETER BEISPIEL PB@FIRMA.COM HM@FIRMA.COM NO 

020103 00:02 HANS MUSTER ZZ@PRIVAT.COM HM@FIRMA.COM NO 

020103 00:10 HANS MUSTER HM@FIRMA.COM ZZ@PRIVAT.COM YES 





020103 00:15 PETER BEISPIEL PB@FIRMA.COM HM@FIRMA.COM NO 

020103 00:16 HANS MUSTER HM@FIRMA.COM PB@FIRMA.COM NO 




... 

DATE TIME USER-ID URL 

------------------------------------------------------ 

010103 23:59 PETER BEISPIEL WWW.FIRMA.COM 

020103 00:02 HANS MUSTER WWW.FIRMA.COM 

020103 00:02 PETER BEISPIEL WWW.TEST.COM 

020103 00:02 HANS MUSTER WWW.SEX.COM 


020103 00:11 HANS MUSTER WWW.TEST.COM 



020103 00:14 HANS MUSTER WWW.TRADING.COM 

020103 00:15 PETER BEISPIEL WWW.FIRMA.COM 





... 

Protokollierung des 

Auswertungstools 

Die mit der Überwachung 

der Einhaltung der Nutzungsregelung 

beauftragte Person (in der Regel der 

Datenschutzberater der Firma) hat keinen 

direkten Zugriff auf die Protokollierungen, 

sondern nur auf deren Auswertungen. 

Anonyme Auswertung, 020203 

-------------------------- 


-------- 

1. www.firma.com 65% 

2. www.test.com 25% 

3. www.sex.com 6% 

Email 

----- 

Sended: 70 (37 private) 

Received: 70 (2 private) 

Abbildung 1: Vgl. Kapitel 8.3 

KORRESPONDENZLISTE 

-----------------xy123 

=> PETER BEISPIEL 

zz321 => HANS MUSTER 

Pseudonyme Auswertung, 020203 

----------------------------- 

Pseudo: zz321 


-------- 



3. www.trading.com 5% 

Email 

----- 


Received: 37 (2 private) 

Protokollierung internet Protokollierung email 

Protokollierung Drucker 

Auswertungstool 

Die mit der Gewährleistung 

der Sicherheit und 

Funktionstüchtigkeit 

beauftragten Infornatikdienste 

können einen direkten 

Zugriff auf die 

Protokollierungen haben 

Namentliche Auswertung, 020203 

------------------------------ 

USER: HANS MUSTER 


-------- 



3. www.trading.com 5% 

Email 

----- 


Received: 37 (2 private)


45 


Anhang C: Musterreglement über die Surfenund 

E-Mail-Überwachung am Arbeitsplatz 

In diesem Musterreglement ist der Text in normaler Schrift verfasst, die 

Erklärungen und Hinweise zu notwendigen Ergänzungen in kursiver 

Schrift. 

C.1 Zweck und Geltungsbereich 

C.1.1 Zweck 

Dieses Reglement bezweckt den Schutz der Interessen von Arbeitgeber 

und Arbeitnehmer bei der Überwachung vom Surfen und vom E-Mail 

am Arbeitsplatz. 

C.1.2 Geltungsbereich 

Dieses Reglement gilt für alle internen und externen Arbeitnehmer der 

Firma. 

C.2 Interessen und Risiken des Arbeitgebers und Arbeitnehmers 

C.2.1 Interessen und Risiken des Arbeitgebers 

Durch Benutzung des vernetzten Computers am Arbeitsplatz können 

folgende Interessen und technische Einrichtungen unserer Firma beeinträchtigt 

werden: 

- Speicherkapazität und Netzwerkbandbreite durch übermässige Internet- 

und E-Mail-Nutzung; 

- Daten- und Anwendungssicherheit (Verfügbarkeit, Integrität, Vertraulichkeit) 

durch Einfuhr von Viren, Würmern, Trojanischen Pferden oder 

Installation von fremden Programmen; 

- Arbeitszeit und andere finanzielle Interessen (Produktivitätsverluste, 

Kostensteigerung für zusätzliche Mittel und/oder Leistungen, Netzkosten, 

usw.); 

- weitere rechtlich geschützte Interessen, wie Ruf, Fabrikations- und 

Geschäftsgeheimnisse oder Datenschutz. 

C.2.2 Interessen und Risiken des Arbeitnehmers 

Die Informations- und Kommunikationsinteressen des Arbeitnehmers, 

die mit der Benutzung des Internet und E-Mail am Arbeitplatz verbunden 

sind, sind u. a. mit arbeits-, datenschutz- und gesundheitsschutzrechtlichen 

sowie wirtschaftlichen Risiken verbunden.


46 


C.3 Technische Schutzmassnahmen und Protokollierungen 

C.3.1 Technische Schutzmassnahmen 

Folgende technische Schutzmassnahmen werden in unserer Firma eingesetzt: 

- ... 

- ... 

- ... 

Kapitel 3 unseres Leitfadens listet die wichtigsten technischen Schutzmassnahmen 

auf. 

C.3.2 Protokollierungen 

Unsere Informatikmittel führen Protokollierungen über die wichtigsten 

durchgeführten Aktivitäten durch. Eine Protokollierung definiert sich als 

fortlaufende Aufzeichnung der Randdaten „wer“, „was“, „wann“ und 

findet in unserer Firma an folgenden Stellen statt: 

- ... 

- ... 

- ... 

Hier muss das Unternehmen die für ihn nötigen Protokollierungen, deren 

Zweck, Inhalt und Aufbewahrungsdauer angeben. Damit kommt die 

Firma ihrer Informationspflicht über die Datenbearbeitungen und – 

sammlungen gemäss Art. 4 Abs. 2 DSG nach. Fehlt diese Information, so 

sind die Protokollierungen beim Eidg. Datenschutzbeauftragten gemäss 

Art. 11 Datenschutzgesetz anzumelden. Kapitel 4 sowie Anhang A 

unseres Leitfadens informieren über die wichtigsten Protokollierungsarten. 

Die Protokollierung von privaten E-Mails enthält nur die E-Mail-Adresse 

des Arbeitnehmers, den Vermerk „privat“, das Datum und die Zeitangaben. 

C.4 Nutzungsregelung 

Ob Arbeitnehmer das Recht haben, am Arbeitsplatz Internet und E-Mail 

für private Zwecke zu nutzen, hängt in erster Linie vom Willen des Arbeitgebers 

ab. Ähnlich wie in anderen Bereichen des Arbeitsverhältnisses 

hat er ein Weisungsrecht. Der Umfang der Nutzungsberechtigung 

kann je nach Arbeitnehmerkategorie und ihren beruflichen Bedürfnissen 

unterschiedlich sein. 

Kapitel 5 unseres Leitfadens gibt Anhaltspunkte, wie ein Unternehmen 

das Surfen und E-Mail am Arbeitsplatz regeln kann. In diesem Kapitel


47 


sind konkrete und unmissverständliche Regeln aufzustellen. Die Nutzungsregelung 

ist bei Bedarf zu aktualisieren. 

C.5 Überwachungsregelung 

C.5.1 Vorrang technischer Schutzmassnahmen 

Unsere Firma verpflichtet sich, in erster Linie technische Schutzmassnahmen 

gegen Missbrauch und technischen Schaden einzusetzen. 

Sie passt die technischen Schutzmassnahmen regelmässig dem neusten 

Stand der Technik an. Die Anpassung erfolgt auch nach einer technischen 

Störung. 

Nur wenn ein Missbrauch trotz technischen Schutzmassnahmen nicht 

verhindert werden kann, darf sie personenbezogene Auswertungen 

der Internet- und E-Mail-Protokollierungen vornehmen. 

Unsere Firma verzichtet auf den Einsatz von Spionprogrammen. 

C.5.2 Auswertung der Protokollierungen 

Zur Kontrolle der Einhaltung der Nutzungsregelung wertet unsere Firma 

die Protokollierungen in anonymer oder pseudonymer Form aus. 

Bei der anonymen Auswertung geht es um die statistische Analyse der 

Protokollierungen nach folgenden Kriterien: (Hier hat das Unternehmen 

oder die Verwaltungseinheit die in Frage kommenden Kriterien anzugeben, 

vgl. Kapitel 8.3 des Leitfadens). 

Die pseudonyme Auswertung erfolgt nur stichprobenartig. Hier hat die 

Firma den Zeitplan und die Zeitspanne, in welcher die Stichprobe erfolgt, 

anzugeben (vgl. dazu Kapitel 8.4.1 des Leitfadens). 

Um die Anonymität und Pseudonymität zu gewährleisten, wird unsere 

Firma die untersuchte Personenmenge genügend gross halten und die 

Protokollierungen von der Korrespondenzliste physisch und funktionell 

getrennt aufbewahren (vgl. Kapitel 8.3 des Leitfadens). 

Wird bei der anonymen oder pseudonymen Auswertung ein Missbrauch 

festgestellt oder entsteht ein Missbrauchsverdacht, so werden 

die Auswertungen der Protokollierungen durch Verknüpfung mit der 

Korrespondenzliste namentlich ausgewertet. Als Missbrauch wird eine 

Verletzung des Nutzungsreglements verstanden. Die Sanktionen gemäss 

§ 5.8 dieses Reglements können ergriffen werden. 

Erhärtet sich ein Missbrauchsverdacht nicht, so stellt unsere Firma die 

namentliche Auswertung der Protokollierung sofort ein. 

Hier hat die Firma anzugeben, wer für die namentliche Auswertung der 

Protokollierung zuständig ist. In der Regel übernimmt der Datenschutzberater 

der Firma diese Funktion (vgl. Anhang B 3). 

Wenn eine Straftat durch Auswertung der Protokollierungen oder


48 


durch andere Hinweise festgestellt oder vermutet wird, sichert unsere 

Firma die entsprechenden Protokollierungen. Sie behält sich das Recht 

vor, Anzeige gegen die betroffene Person zu erstatten. Das weitere Vorgehen 

ist Sache der zuständigen Strafjustizbehörde. Unsere Firma verpflichtet 

sich, das Resultat der Ermittlungen gegenüber unberechtigten 

Dritten, insbesondere gegenüber den anderen Mitarbeitern, vertraulich 

zu behandeln. 

Der Entscheid, ob Anzeige erstattet wird oder nicht, liegt bei den Vorgesetzten, 

nicht bei den Informatikdiensten. Es besteht keine Anzeigepflicht. 

Es ist jedoch empfehlenswert, zumindest im Zusammenhang 

mit Offizialdelikten, Anzeige zu erstatten, um die Gefahr der Mittäterschaft 

zu verhindern. 

C.5.3 Überwachung im Rahmen der Gewährleistung der Sicherheit und 

Funktionstüchtigkeit des betrieblichen EDV-Systems oder aufgrund 

anderer Hinweise 

Manifestiert sich eine Störung des EDV-Systems trotz technischen 

Schutzmassnahmen, können bei der Suche nach deren Ursache die 

Protokollierungen beigezogen werden. 

Stellt die Ursache der Störung einen Missbrauch dar, kann der identifizierte 

Mitarbeiter gemäss § 5.8 dieses Reglements sanktioniert werden. 

Stellt man einen Missbrauch fest oder entsteht ein Missbrauchsverdacht 

durch andere Hinweise, können falls nötig die entsprechenden 

Protokollierungen oder deren Auswertungen beigezogen werden. Bei 

erwiesenem Missbrauch können die Sanktionen gemäss § 5.8 dieses 

Reglements ergriffen werden. 

C.5.4 Unterscheidung zwischen private und geschäftliche E-Mails 

Private E-Mails sind von den internen und externen Absendern durch 

die Vermerkoption „privat“ zu kennzeichnen. 

Die Einsichtnahme und weitere Bearbeitung von E-Mails, welche als 

„privat“ gekennzeichnet sind, bleibt unserer Firma verwehrt. 

Wenn kein Unterscheidungsvermerk zwischen privaten und geschäftlichen 

E-Mails besteht und die private Natur eines E-Mails aufgrund der 

Adressierungselemente nicht erkennbar und nicht anzunehmen ist, 

darf unsere Firma davon ausgehen, dass das E-Mail geschäftlich ist. 

Bestehen Zweifel über die Natur eines E-Mails, ist sie mit dem Angestellten 

zu klären. Interne und externe Absender sind darüber ausdrücklich 

zu informieren. 

Für einen besseren Schutz privater E-Mails empfiehlt die Firma, einen 

webbasierten, verschlüsselten E-Mail-Dienst zu benutzen. 

Ob internetbasierte, verschlüsselte E-Mail-Dienste überhaupt benutzt


49 


werden dürfen, hängt vom Nutzungsreglement ab. Ist die private Internetnutzung 

verboten, so fällt diese Möglichkeit weg. 

Die Firma kann auch zur besseren Unterscheidung zwischen privaten 

und geschäftlichen E-Mails die namenlose, funktionelle Adressierung 

für die Geschäftskorrespondenz einführen (vgl. Kapitel 8.5.2). 

C.5.5 Die Überwachung des geschäftlichen E-Mail-Verkehrs 

Unsere Firma hat das Recht, die geschäftlichen E-Mails zu protokollieren 

und bei Bedarf zu sichern. 

Die Protokollierung der geschäftlichen E-Mails betrifft u. a. die Betreffzeile, 

Datum, Zeit, Absender- und Empfängeradressen. 

C.5.6 Die E-Mail-Verwaltung bei Abwesenheiten eines Mitarbeiters 

Bei Abwesenheiten definiert der Mitarbeiter einen Stellvertreter mit 

abgestufter Berechtigung zur Einsicht und Weiterbearbeitung der geschäftlichen, 

eingehenden e-Mails. 

Die als „privat gekennzeichneten E-Mails sind für den Stellvertreter 

nicht sichtbar. 

Die externen Absender müssen informiert werden, dass private E-Mails 

als solche zu kennzeichnen sind, ansonsten sie durch den Stellvertreter 

eingesehen werden können. 

C.5.7 Die E-Mail-Verwaltung beim Austritt eines Mitarbeiters 

Vor dem Austritt hat der Mitarbeiter die noch hängigen Geschäfte wie 

E-Mails intern weiterzuleiten. 

Der Mitarbeiter hat die Übergabe sämtlicher Geschäftsdokumente an 

die Firma zu bestätigen. 

Der austretende Mitarbeiter hat die Möglichkeit, seine privaten E-Mails 

und andere Dokumente auf private Datenträger zu speichern und aus 

den Servern der Firma zu löschen. 

Beim Austritt (oder Todesfall) ist spätestens am letzten Arbeitstag sein 

E-Mail-Account (wie übrigens auch alle anderen EDV-Accounts) zu 

sperren und sein Briefkasten (wie alle anderen persönlichen Datenträger) 

zu löschen. 

Absender, welche E-Mails an die gesperrte E-Mail-Adresse schicken, 

werden automatisch informiert, dass die Empfängeradresse hinfällig 

ist. In der automatischen Antwort wird eine geeignete Ersatz-E-Mail- 

Adresse der Firma angegeben. 

C.5.8 Sanktionen bei Missbrauch 

Wenn die Voraussetzungen und die Regeln der Überwachung eingehalten 

worden sind, kann die Firma im Falle eines erwiesenen Missbrauchs


50 


arbeitsrechtliche Sanktionen gegen den fehlbaren Mitarbeiter aussprechen. 

Hier hat das Unternehmen die Sanktionen aufzulisten, die es im Falle 

eines Missbrauchs zu treffen gedenkt. In Frage kommen z. B. Abmahnungen, 

Sperrungen des Internetzugriffs, Schadenersatzforderungen, 

Streichung von Sonderprämien, usw. [vgl. dazu Kapitel 10 unseres Leitfadens]. 

In extremen Fällen, wie bei wiederholtem Missbrauch mit technischer 

Störung trotz Abmahnung oder bei erwiesenen Straftaten kann 

der Arbeitgeber sogar die Entlassung aussprechen. Die fristlose Entlassung 

eines Arbeitnehmers kann nur ausgesprochen werden, wenn 

dem Arbeitgeber nach Treu und Glauben die Fortsetzung des Arbeitsverhältnisses 

nicht mehr zugemutet werden kann. Die Sanktionen müssen 

der Schwere des jeweiligen Missbrauches angepasst und in ihrem 

Umfang bereits in diesem Überwachungsreglement bestimmt sein. 

Vor einer Löschung missbräuchlich erworbenen Dateien werden die 

betroffenen Arbeitnehmer informiert und es wird ihnen die Möglichkeit 

gegeben, die betreffenden Dateien, z. B. E-Mails, auf privaten Datenträgern 

zu speichern. 

C.5.9 Ansprüche des Mitarbeiters bei unzulässiger Überwachung durch 

die Firma 

Bei Verletzung der Voraussetzungen und Regeln der Überwachung der 

Surf- und E-Mail-Aktivitäten, stehen dem betroffenen Mitarbeiter die zivilrechtlichen 

Ansprüche wegen Persönlichkeitsverletzung zu (vgl. Art. 

28 ff ZGB). 

Der betroffene Arbeitnehmer kann im Falle einer missbräuchlichen 

Überwachung durch die Firma auch strafrechtliche Mittel ergreifen. Zu 

denken ist insbesondere an die Anzeige wegen Verletzung des Geheimoder 

Privatbereiches durch Aufnahmegeräte (Art. 179 quater StGB) oder 

wegen unbefugten Beschaffens von Personendaten (Art. 179 novies StGB). 

C.5.10 Weitere Bestimmungen 

Unsere Firma schult regelmässig die Mitarbeiter über die Risiken im Zusammenhang 

mit der Benutzung von Internet und E-Mail. 

Sowohl die Informatikdienste als auch die Vorgesetzten unserer Firma 

haben die Personendaten, die sie im Zusammenhang mit einer Überwachung 

bearbeiten, durch angemessene technische Massnahmen gegen 

unbefugte Zugriffe zu schützen. 

Sie sorgen insbesondere für die Vertraulichkeit, die Verfügbarkeit und 

die Integrität der Personendaten. 

Der Arbeitnehmer darf von der Firma jederzeit Auskunft darüber verlan-


51 


gen, ob und welche Daten über ihn bearbeitet werden. 

Personendaten dürfen nicht ohne Einwilligung der betroffenen Personen 

oder einen anderen Rechtfertigungsgrund an unberechtigte Dritte 

bekannt gegeben werden. Die Arbeitskollegen der betroffenen Person 

gelten als Dritte. 

Der Firma obliegt keine gesetzliche Aufbewahrungspflicht im Zusammenhang 

mit Protokollierungen. Zu Beweissicherungszwecken dürfen 

die Protokollierungen für eine beschränkte Zeit, in der Regel nicht länger 

als vier Wochen, aufbewahrt werden. 

Die Aufbewahrungsdauer hängt vom Zweck der Protokollierung ab. Im 

Rahmen von Sanktionsverfahren oder Strafverfolgungen dürfen sie bis 

zum Ablauf der entsprechenden Rechtsmittelfristen aufbewahrt werden.


52 


1 URL: Uniform Resource Locator wie z. B. http://www.unerwuenscht.ch. 

2 Duden Informatik, 2. Auflage, Mannheim, Leipzig, Zürich, Wien, 1993. 

3 Z. B. das Programm Stripes.exe bei MS-DOS. 

4 Vgl. dazu auch Leitfaden des Eidg. Datenschutzbeauftragten über die 

technischen und organisatorischen Massnahmen. 

5 Service Pack, Service Release, Hotfixes, Patches, usw. 

6 Z. B. Cookies ablehnen oder Javascript ausschalten, um E-Mail-Wiretaps 

(Abhörung) zu verhindern. 

7 Die Firewall kann mit der sogenannten Network Address Translation 

NAT die persönlichen IP-Adressen durch eine öffetliche Firmen-IP- 

Adresse ersetzen, und somit einen Hackerangriff von aussen verhindern. 

8 Http, ftp, telnet, nntp, smtp, etc. 

9 Ghost Keylogger, WinWhatWhere Investigator, PC Activity Monitor, usw. 

10 Beim Schliessen des Internet-Browsers werden die Protokollierungsprogramme 

nicht informiert. 

11 Motion Fritz Reimann vom 12. Dezember 1984 betreffend Persönlichkeitsschutz 

des Arbeitnehmers. 

12 Vgl. auch schriftliche Beantwortung der Motion durch den Nationalrat 

am 20. Februar 1985 sowie Bemerkungen des Wegleitungsentwurfes zu 

Art. 26 ArGV 3. 

13 Auch die Entstehungsarbeiten zu Art. 26 ArGV 3 wiesen im Zusammenhang 

mit der Telefonüberwachung zu Recht darauf hin, dass erst 

bei einem konkreten Missbrauch die vollständigen Randdaten des Telefonverkehrs 

personenbezogen ausgewertet werden dürfen.


53 


14 Vgl. dazu Leitfaden des Eidg. Datenschutzbeauftragten über die technischen 

und organisatorischen Massnahmen. 

15 Vgl. 9. Tätigkeitsbericht des Eidg. Datenschutzbeauftragten, 2001/02, 

Kapitel 2.2.1, S. 19ff. insb. S. 21. 

16 Wird bspw. ein wiederholtes Zugriff auf die Homepage einer Zeitung 

durch das gleiche Pseudonym festgestellt, klärt man durch namentliche 

Auswertung ab, ob die betreffende Person zugriffsberechtigt war. 

Je nach beruflicher Funktion (z. B. Presseverantwortlicher) kann der Zugriff 

gerechtfertigt sein. 

17 Vgl. 5. Tätigkeitsbericht des Eidg. Datenschutzbeauftragten, 1997/98, 

S. 42/178. 

18 Die Verschlüsselung kann bspw. durch Benutzung von PGP-Software 

(Pretty Good Privacy) oder webbasierter E-Mail-Dienste wie 

Hushmail.com gewährleistet werden, wobei ein vollständiger Schutz 

nur erreicht wird, wenn sowohl Absender wie auch Empfänger einen 

verschlüsselten E-Mail-Dienst benutzen. 

19 Beispiel einer Austrittserklärung des Arbeitnehmers: „Ich bestätige 

hiermit, dass ich alle Eigentümer der Firma, inkl. geistige Eigentümer, 

sowohl physischer als auch elektronischer Art, zurückgegeben habe“. 

20 Die Spezialisten beraten Untersuchungsbehörden im Bereich Computerkriminalität 

und computergestützter Kriminalität. Vorermittlungen, 

und technische Überwachungsmassnahmen werden von Ihnen in 

Funktion eines Sachverständigen unter richterlicher Einbindung in das 

Amtsgeheimnis begleitet. Dabei sind die Spezialisten für die gerichtsverwertbare 

Beweissicherung von digital gespeicherten Daten verantwortlich. 

In Form eines Gutachtens erstatten Sie der Untersuchungsbehörde 

Bericht über Ihre Analysen und geben Empfehlungen ab. Sie tragen 

dabei eine sehr hohe Verantwortung und können Ihre Ergebnisse 

auch vor Gericht vertreten. 

21 Vgl. Brunner, Waeber in „Commentaire du contrat de travail“, Schweizerischer 

Gewerkschaftsbund, Lausanne 1996, S. 42ff 

Version 2.0 / Dezember 2003

1 Leitfaden über Internet- und E-Mail-Überwachung am Arbeitsplatz ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?